Vectores de ataque dispositivos moviles

32
Vectores de Ataque Seguridad en Dispositivos Moviles Vive ForoSI Octubre 2010 Ezequiel Sallis CISSP-CEH-MBCI

Transcript of Vectores de ataque dispositivos moviles

Page 1: Vectores de ataque dispositivos moviles

Vectores de Ataque

Seguridad en Dispositivos MovilesVive ForoSI

Octubre 2010

Ezequiel Sallis CISSP-CEH-MBCI

Page 2: Vectores de ataque dispositivos moviles

Agenda

Introducción Blackberry’s Aspectos Generales de Seguridad Blackberry’s Vectores de Ataque IPhone Aspectos Generales de Seguridad IPhone Vectores de Ataque Demo Recomendaciones

Page 3: Vectores de ataque dispositivos moviles

Introducción

Estado de Situación

Los Smartphone’s dejaron de ser únicamente un “Gadget”Tecnológico para pasar a formar parte de un fenómeno Social.

Sus capacidades de Procesamiento, Usabilidad y Conectividad seIncrementan de manera vertiginosa.

Las Redes de Telefonía Móvil que lo soportan han Crecidotanto Tecnológicamente como Geográficamente, permitiendoel acceso a la información en cualquier lugar de maneraefectiva.

Tanto el acceso a la información Corporativa como el acceso acontenidos Sociales y Ociosos se están mudando hacia la“Cuarta Pantalla” y los vectores de ataques tradicionales noson la excepción.

Page 4: Vectores de ataque dispositivos moviles

Introducción

Un Fenómeno Social

La penetración de la telefonía móvil dentro de la sociedad de lainformación fue mucho mas alla de lo esperado. Ya hay 500 millonesde suscriptores a planes 3G en el mundo .

En la actualidad con la evolución de los smarphone’s y el entornomóvil, llega el momento de redefinir algunos conceptos.

Inicialmente se pensó que el teléfono móvil ataría al empleado aunmas a la relación laboral, sin embargo hoy, las empresas estánpreocupadas por el impacto que estos tienen en las actividadesociosas que el empleado realiza durante la jornada laboral.

Veamos solo un aspecto para reflexionar...

Page 5: Vectores de ataque dispositivos moviles

Introducción

Cambio de HábitosLos aspectos mas relevantes sobre de la evolución de los Smartphone’s, no están asociados únicamente a sus capacidades deprocesamiento,almacenamiento y memoria sino que también estánasociados a fomentar el cambio en los hábitos de su uso yfuncionalidad.

•Navegador

•Integración de Correo Electrónico

•Mensajería Instantánea

•Redes Sociales

•Contenidos Audiovisuales

•Gestión y Edición de Documentos de Trabajo

•Calendarios

•Contactos

Page 6: Vectores de ataque dispositivos moviles

Introducción

El poder de la “Cuarta Pantalla”

Son precisamente los cambios en el hábito de uso de estosdispositivos, los que han echo que canales tradicionales y novelesorientados al comercio, las relaciones sociales, las noticias, elespectáculo, tomen por asalto la “cuarta pantalla”.

•Banca Online (Consultiva y Transacciones)

•Clientes ERP’s

•Inversiones Online (Acciones, Granos, Ganado)

•Publicidad Contextual

•Realidad Aumentada

•Soporte Remoto de Infraestructuras

•Control y Monitoreo de Seguridad

•Venta Online (Tiendas, Espectáculos, Turismo)

Page 7: Vectores de ataque dispositivos moviles

Introducción

Riesgo y Amenazas “De Bolsillo”

No son únicamente las oportunidades de negocio las que asaltaron losdispositivos móviles, sino que también, los vectores de ataqueTradicionales ya tienen su “versión portable”.

Para un mejor entendimiento deberíamos centrarnos en tresprincipales vectores de ataque orientados a estos dispositivos:

•Vectores en relación al Factor Humano

•Vectores en relación a las Aplicaciones

•Vectores en relación a la Tecnología

Page 8: Vectores de ataque dispositivos moviles

Introducción

Reconocimiento del Terreno

Por el contrario de lo que sucede con los sistemas operativos de lasmaquinas de escritorio, el mercado de los smartphone’s tiene unamayor oferta y diversidad, incluso los porcentajes de MarketShare varían con el tiempo y las novedades.

Por otra parte dentro de esta diversidad, nos encontraremos consmartphone’s orientados al mundo corporativo y smartphone’sorientados a aspectos multimedia y ociosos.

En el mundo de las aplicaciones, Apple marco el camino con la “AppStore”, y hoy casi todos los “Players” ofrecen ademas de un SDK, unámbito donde promocionar, descargar y vender aplicaciones para susplataformas con diferentes políticas y controles.

Page 9: Vectores de ataque dispositivos moviles

Introducción

Reconocimiento del Terreno

Dentro del mercado de los Smartphone’s existen muchos fabricantesde Hardware y Software, pero en resumen, entre otros, podemosencontrar los siguientes:

•RIM - Blackberry’s - RIM OS (Cerrado)

•Apple - Iphone - Iphone OS (Cerrado)

•Google - Nexus One - Android OS (Abierto)

•Palm - Palm Pre - Web OS (Cerrado)

•Nokia - N97- Symbian OS (Abierto)

•Microsoft - HTC- Mobile (Cerrado)

Page 10: Vectores de ataque dispositivos moviles

Tecnología - Aspectos de Seguridad

RIM - Blackberry’s - RIM OS

•Diferentes esquemas de Integración (BES-BIS-BDR)

•Sistema operativo propietario

•Soporta Identificación (PIN) Autenticación (Clave)

•Soporta cifrado para el contenido del dispositivo y SD (Triple DES y AES)

•Soporta cifrado para el trafico de datos (BB-BES) (Triple DES y AES)

•Soporte para el filtrado de entrada y salida de datos (Application Firewall)

•Soporte para localización y borrado remoto del contenido del dispositivo.

•Soporte para el acceso a la instalación de software en el smartphone.

•Conectividad Bluetooth, WIFI, GPRS, EDGE, 3G, VPN (PPTP, L2TP, IPsec)

Page 11: Vectores de ataque dispositivos moviles

RIM - Blackberry’s - RIM OS

• Implementación de políticas de seguridad OTA (Over The Air)

•BES - Mas Seguro - Control Centralizado -Orientado a Entornos Corporativos

•BIS - Menos Seguro - Control Individual - Orientado al Usuario Final

•Soporte para Doble Factor de Autenticación

•Auditoria y Control (Mensajes PIN-SMS y Llamadas de Voz)

•Soporta S/MIME y PGP

•Gestión Administrativa basada en Roles

•Gestión de Usuarios basada en Grupos

Tecnología - Aspectos de Seguridad

Page 12: Vectores de ataque dispositivos moviles

RIM - Blackberry’s - RIM OS

•Provee sus propios SDK’s (Web-JAVA-Legacy)

•Si NO hay interacción con las API’s controladas de BB - NO requiere firmar código

•3 Categorías API’s controladas (Runtime-Application-Cryptography)

Aplicaciones - Aspectos de Seguridad

•Si hay interacción con las API’s controladas de BB - SI requiere firmar código

•Para Firmar se requiere las “Code Signing Keys”

•“Code Signing Keys” Requieren Registracion-USD20-48hs de Espera

•Se asigna un control de protección mediante la firma del código

Page 13: Vectores de ataque dispositivos moviles

RIM - Blackberry’s - RIM OS

•Independientemente de lo anterior la mayoría de las políticas de TI en BES es“Default Allow All”, lo que en ese caso, los coloca también como objetivos.

•La viabilidad de los ataques es mayor en BIS que en BES

•Un vector de ataque interesante surgió en el 2006 - Blackjacking, el mismo no esta asociado a la faltas de parches de seguridad, sinoal como se despliega la arquitectura BES en la organización.

•Las vulnerabilidades descubiertas en esta plataforma no hay sido demasiadas, comenzaron en el 2006 con algunas asociadas a la denegación de servicio y continuaron entre 2008 y 2009 con algunas en el manejo de Active X y apertura de attachment en formato PDF.

Tecnología - Vectores de Ataque

Page 14: Vectores de ataque dispositivos moviles

RIM - Blackberry’s - RIM OS

•Acceso a dispositivos sin clave

•La mayoría de las veces las cosas suelen ser mas simples :(

Tecnología - Vectores de Ataque

•Remanencia de información sensible en medios de almacenamiento (SD)

•Bluetooth Discovery On - 802.11 Wireless ClienSide Attacks

•Funciones de Firewall Deshabilitadas

•Funciones de cifrado no activadas

•Venta de equipos a terceros aun asociados a un BIS

Page 15: Vectores de ataque dispositivos moviles

RIM - Blackberry’s - RIM OS

•Según un estudio de Smobile Systems, una aplicación que no use la APIs restringidas que requieren ser firmadas podría igualmente:

•RIM no verifica la confiabilidad de las aplicaciones que desarrollan terceros, sin embargo, si las aplicaciones desarrolladas harán uso de las API’s restringidas, RIM requerida que se realice la registracion y compra de Code Signing Keys. Si no se firma el código, la aplicación no carga.

Aplicaciones - Vectores de Ataque

•Borrar todo el contenido de memorias internas e externas

•Enviar SMS a servicios rentables :) Manda deseo al 1337

•Buscar información en los adjuntos al correo electrónico.

•Enviar por email información asociada a contactos o notas

Page 16: Vectores de ataque dispositivos moviles

RIM - Blackberry’s - RIM OS•Si lo anterior no es suficiente el atacante podría optar por adquirir las llaves y firmar el código, para lo que tiene dos alternativas:

Aplicaciones - Vectores de Ataque

•Brindar sus datos reales

•Brindar una identidad falsa

•Utilizar para el pago un medio anónimo.

•Los métodos de instalación de aplicaciones son 4 (Cuatro):

•OTA Over The Air

•Blackberry Desktop Manager

•BES Push•BB AppWorld

Page 17: Vectores de ataque dispositivos moviles

Old Screenshots :)

Flexispy

Page 18: Vectores de ataque dispositivos moviles

Flexyspy

Old Screenshots :)

Page 19: Vectores de ataque dispositivos moviles

Flexyspy

Old Screenshots :)

Page 20: Vectores de ataque dispositivos moviles

Flexyspy

Old Screenshots :)

Page 21: Vectores de ataque dispositivos moviles

Flexyspy

Old Screenshots :)

Page 22: Vectores de ataque dispositivos moviles

Flexyspy

Old Screenshots :)

Page 23: Vectores de ataque dispositivos moviles

Tecnología - Aspectos de Seguridad

Apple - Iphone - Iphone OS

•Soporte de Cifrado y Bloqueo del DCP (No access + No Share + No Altered)

• + Personal y - Enterprise

•Sistema operativo propietario

•Soporta Autenticación vía PIN-Passcode-Certificado Digital

•Deploy de perfiles de configuración de dispositivo (DCP) OTA y Iphone Utility

•DCP Autentica acceso WIFI, MS Exchange ActiveSync, VPN y otras Políticas.

•Soporte para localización y borrado remoto del contenido. 3G (Soft) - 3GS (Hard)

•Integración con políticas de seguridad Active Sync en MS Exchange 2003 y 2007.

•Conectividad Bluetooth, WIFI, GPRS, EDGE, 3G, VPN (PPTP, L2TP, IPsec)

Page 24: Vectores de ataque dispositivos moviles

Apple - Iphone - Iphone OS

Iphone Configuration Utility

Tecnología - Aspectos de Seguridad

Page 25: Vectores de ataque dispositivos moviles

Apple - Iphone - IPhone OS

•El acceso a la tienda se basa en un “cuestionado” proceso de evaluación, el cual no necesariamente tienen la seguridad como pilar.

•Apple fue la primera en implementar el concepto de tienda virtual, por el contrario de RIM o Google, el acceso de una aplicación a la tienda esta pura y exclusivamente atado a una decisión de Apple.

Aplicaciones - Vectores de Ataque

•Solo corren sobre Iphone’s “Jaibrekeados”

•Permiten funcionalidades restringidas

•No hay controles formales en este ámbito.

Page 26: Vectores de ataque dispositivos moviles

Veracode POC Spyware

Live Demo

Page 27: Vectores de ataque dispositivos moviles

Mobile Survival Kit

Recomendaciones

Page 28: Vectores de ataque dispositivos moviles

Recomendaciones

•Nunca pierda de vista su dispositivo, el mismo puede resultar interesante para manos ajenas.

•Active la protección de seguridad PIN de la SIM (4 Dígitos)

•Guarde en un lugar seguro el código PUK (8 Dígitos)

•Active la función de bloqueo de terminal mediante CLAVE de seguridad

•Utilice CLAVES robustas.

•Habilite la función de bloqueo automático en un corto periodo de tiempo

•Vigile el consumo para detectar de forma temprana cualquier anomalía.

Page 29: Vectores de ataque dispositivos moviles

Recomendaciones

•No abra correos electrónicos, ni acepte archivos de personas a las que no identifique.

•Utilice las funciones de cifrado de información que el dispositivo le provee.

•Ni instale aplicaciones de orígenes desconocidos.

•Proteja la información que reside dentro de las tarjetas de memoria extraible.

•No deje prendido WIFI o Bluetooth si no lo esta utilizando

•Si utiliza bluetooth mantenga el dispositivo en modo “no descubrimiento”

•No admita ni se conecte vía Bluetooth a ningún dispositivo desconocido.

•Evite conectarse a puntos WIFI desconocidos.

Page 30: Vectores de ataque dispositivos moviles

Recomendaciones

•Mantenga un sistema periódico de copias de respaldo.

•No responder a mensaje y promociones vía SMS o Mail que lo lleven a enviar información o a ejecutar archivos de fuentes no confiables

•Tenga un antivirus actualizado en el dispositivo

•Tenga la función de firewall habilitada en el equipo

•Borre la información del dispositivo de forma segura.

•Ante el robo o perdida del dispositivo, solicite la función de borrado remoto inmediatamente.

•Ante robo o perdida realice la denuncia en su empresa y proveedor de servicios.

Page 31: Vectores de ataque dispositivos moviles

•Desde los tres vectores de ataque los smartphone’s son potenciales objetivos, pero en la actualidad aquellos ataques asociados al vector factor humano son mas probables de ocurrir.

En Resumen

•Aquellos smartphone’s que se encuentran bajo la aplicación de políticas de seguridad a nivel corporativo, ofrecen mayor resistencia a los ataques, que aquellos que están de forma independiente.

•Independientemente de lo anterior, si solo basamos la estrategia de defensa en controles de naturaleza técnica, y no tenemos en cuenta la concienciación del factor humano en la utilización de esta tecnología solo conseguiremos un bajo porcentaje de efectividad.

Page 32: Vectores de ataque dispositivos moviles

Q & A

esallis(AT)root-secure(DOT)com

Muchas Gracias