Fuga de datos en dispositivos móviles... batalla (casi) perdida!!!

Transcripción

1 Fuga de datos en dispositivos móviles... batalla (casi) perdida!!! Juan Dávila, CISA, CISM, CRISC, Cobit 5 F ISO LA, ISO LA

2 Hoy hablaremos de

3 Agenda Comportamientos y cultura en DM. Riesgos en DM. Propuestas ingenuosas (algunas). tons qué? hay fuga o qué?

4 Qué pasa con los DM? Cualquiera puede hacer lo que quiera en un DM, lo que sea, obviamente, sin que los dueños del DM lo sepan, Mathew Solnik, Black Hat 2014 Instalar una aplicación, desconfigurar el equipo, volver a la configuración de fábrica, cambiar el PIN,... Ahora, el agregado es que el DM todo el tiempo está Esto significa que todos nuestros datos en el DM están,

5 No olvidemos que

6 Por ej. Android se basa en

7 Comportamientos y cultura

8 Comportamientos y cultura En muy pocos años, los DM serán las computadoras personales para todo efecto. Esa que dice: Es que aún no llego a la oficina/casa para ver mis correos hmmmm!!! Preguntas ingenuas: Quién tiene nuestro número de teléfono, IMEI, ubicación física, UDID,?

9 Comportamientos y cultura

10 Comportamientos y cultura A ver, a ver, si no te sucede, no entiendes (cabalmente) si no entiendes, no lo valoras,, si no lo valoras, muy probablemente no actuarás en consecuencia. TI no sabe lo que hace el usuario con sus DM. En mi país hay alta probabilidad de eventos sísmicos (vivimos al borde de un abismo, de modo que lamentablemente es cuestión de tiempo); sin embargo, cuando incluyes el riesgo de eventos sísmicos, nadie nos da pelota!!

11 Incentivos!!

12 Riesgos en DM Cuántas formas de identificar DM conocemos? Número, SIM, IMEI, UDID, IMSI, IP, MAC, Qué elementos identifican al tráfico entre DM? Tramas, datagramas, paquetes, Texto, audio, imágenes, Proveedores, direcciones IP, servidores, geolocalización por GPS o EBC,

13 Riesgos en DM Capa Física: Robos, pérdidas, Capa Aplicación: Gestión remota, recolección de datos, malware, Capa SSOO: Parcheos, Capa Normativa: Políticas, uso aceptable, BYOD Capa 8 (usuario) (cultural): La más pen.

14 Riesgos en DM

15 Riesgos en DM

16 Riesgos en DM Datos, puertos, servicios, infraestructura corporativa. Acceso a SSOO, aplicaciones del DM, configuración del DM, aplicativos de negocio y todo lo que esté instalado en el DM. A propósito, vieron que cuando se instalan aplicaciones, siempre pide permisos para acceder a elementos de configuración?

17 Si instalas un App

18 Riesgos en DM

19 Ecosistemas en DM Los ecosistemas en DM están muy por detrás de la infraestructura establecida de parches para los sistemas de escritorio y laptops. Por ej. En Android, cuando los parcheros encuentran un nuevo bug, arreglarlo supone ir por Google, luego a través de los fabricantes, los operadores y recién allí, a los usuarios. Resultado? TI tiene poca visión hacia dentro y ningún control efectivo sobre la gestión de vulnerabilidad en la seguridad de los DM.

20 Capa SSOO

21 Capa 8 Inquietudes El usuario ignora las advertencias de seguridad, actualizaciones sugeridas, permisos, avisos de contraseñas, etc. Cuántos de aquí tienen contraseña de arranque? De los que dijeron sí, cuántos utilizan 4 números? El comportamiento del usuario implica un riesgo mayor dado que carece de conciencia de seguridad de información. Programas de concientización aislados, sin monitoreo y verificación de efectividad. Los usuarios utilizan su DM para acceder a los datos de la empresa?

22 Capa 8 Revelaciones Menos del 50% de propietarios de DM usan contraseñas o números de identificación personal (PINs) (% mucho menor que los usuarios de PC). Entre los que hacen operaciones bancarias en DM, el 50% encripta los datos o usa algún tipo de software de seguridad. Menos del 33% de los usuarios usa antivirus en sus DM en comparación con un 91% en el portátil. El 45% de las personas no consideran la ciberseguridad en sus DM como una amenaza similar a la de sus computadores. Estudio: Mayo 2014, Harris Interactive encargada por el CTIA [The Wireless Association].

23 Proyecto Symantec: HoneyStick Qué hacen ustedes cuando encuentran un smartphone? Se perdieron 30 smartphones (monitoreados), con aplicaciones, datos personales simulados, 5 intentaron devolverlo. 29 intentaron acceder a datos y aplicaciones. 24 revisaron datos, fotos y redes sociales. 14 intentaron acceder al correo electrónico. 18 intentaron acceder al archivo de contraseñas.

24 Artificios!!! Haga una auditoría de DM devueltos. Compre DM usados (second-hand). Pida un DM prestado. Al devolverlo, si son táctiles, lustre bien la pantalla

25 tons qué? Se han preguntado qué diferencia a las tablets de los smartphones? Cuál de ellas utiliza casi exclusivamente redes WiFi? Eso qué significa? Volviendo a la pregunta, ustedes qué opinan? Obviamente, hay que considerar el apetito de riesgo

26 Capa 8 Consejos Contraseña de arranque (más compleja que 4 dígitos). Contraseña de bloqueo (diferente). iphone 5S permite utilizar huella dactilar para desbloqueo. Windows Phone utiliza Bitlocker. Cifrado / Localización / Bloqueo y/o borrado remoto... Evite guardar información confidencial. Respaldo periódico. Almacenamiento Off-Site: IMEI, contraseña y número del DM para reporte de pérdida o robo.

27 Estrategias MDM (Mobile Device Management): Orientado a la gestión y al control centralizado de los DM corporativos o personales. Permite contar con toda la información referente al aparato, monitorizarlo, configurar políticas, aplicaciones y tener un historial de cada equipo, entre otras funcionalidades. MDP (Mobile Device Protection): Mecanismo utilizado para la protección del propio dispositivo móvil a través de la instalación de un cliente VPN/SSL, un antivirus, el uso de cifrado y de métodos de autenticación robustos.

28 Estrategias NAC (Network Access Control): Controlar el acceso a la red corporativa de cada dispositivo móvil. Permite, entre otras cosas, determinar si el equipo es personal o de la compañía, aplicar políticas de seguridad para operaciones sensibles realizadas a través del dispositivo y reparar dispositivos por medio de la instalación y actualización de aplicaciones por medio de VLAN y considerando el perfil de autenticación del mismo. MAM (Mobile Application Management): Gestiona las aplicaciones a partir de listas negras y blancas, provee entornos virtuales, aplica políticas P2P, entre otras funcionalidades.

29 Estrategias MDS (Mobile Data Security): Mecanismo encargado de la seguridad de los datos, la protección de los puertos Wi-Fi, Bluetooth y mini USB del dispositivo, así como la instalación de un cliente DLP (para controlar y evitar la pérdida de datos) y el uso de IRM (para administrar los derechos sobre la información). IMPORTANTE: Implementar estos mecanismos de seguridad puede implicar uso de servicios de nube pública o privada. Eso depende de las políticas y los recursos de cada compañía.

30 Estrategias

31 Opciones Blackphone (Android) Apps de seguridad y cifrado vía PrivOS. Aplicaciones: Silent Voice y Silent Text permiten realizar llamadas y enviar textos de forma privada. Aplicaciones: SpiderOak crea una nube privada para backup cifrado de información de usuarios. Navegación: Privada vía VPN, las búsquedas no dejan direcciones IP ni almacenan cookies. El gestor WiFi sólo se conecta a puntos de acceso con relación de confianza.

32 Configuraciones básicas Navegador: Configuración Guardar contraseñas Navegador: Configuración Privacidad Don t track Navegador: Configuración Configuración de contenido Configuración de sitios web Borrar datos almacenados Navegador: Configuración Gestión de ancho de banda Reducir el uso de datos. Ubicación: Access my ubication / Wi-Fi / Bluetooth / Compartir acceso a Internet

33 Configuraciones básicas Permisos para aplicaciones: Ubicación comunicación de red mensajes información personal cuentas espacio de almacenamiento controles de hardware herramientas del sistema - Borrar datos asociados a las aplicaciones: Archivos configuración cuentas BBDD Borrar datos de memoria caché. Bloquear la visibilidad de su número

34 Y si invertimos la figura? El móvil como elemento de seguridad. WTF?

35 OTP HW: Tokens no son baratos. Despliegue, gestión de cuentas, monitoreo de (mal) uso, compartición de cuentas-tokens, Los usuarios deben ingresar un código. A los usuarios no les gustan los códigos!!!

36 Imaginemos que

37 Pero, hay un problema!! Por default, nuestros DM simplemente

38 Una forma es California obligará incluir el bloqueo remoto kill switch a todos los smartphones en 2015, además de Minessota

39 Bue cambiemos!!!

40 Emparejamiento 4.-AppID+Temp pairing Token 5.- OK+Unique Latch 1.- Generate pairing code 2.- Temporary Pariring token 6.-ID Latch appers in app 3.- User introduces Temp Pairing token

41 Autenticación 3.- asks about Latch1 status 4.- Latch 1 is OFF 2.- Web checks Credentials with Its users DB 6.- Someone try to get Access to Latch 1 id. 1.- Client sends Login/password 5.- Login Error

42 Demo

43 Preguntas? Muchas Gracias Juan Dávila