SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9...
Transcript of SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9...
![Page 1: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/1.jpg)
14.11.2007 1
SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES
D. José Miguel Cardona Pastor, CISAGerente Responsable del Área de Levante de TSRS (Technology
and Security Risk Services) de Ernst&Young.
![Page 2: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/2.jpg)
14.11.2007 2I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
2
Introducción
Tecnologías móviles
Vulnerabilidades
Contramedidas
3
4
1
![Page 3: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/3.jpg)
14.11.2007 3I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
Dispositivos Móviles
![Page 4: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/4.jpg)
14.11.2007 4I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
Conceptos Básicos
• Tamaño reducido
• Bajo coste
• Alta movilidad
• Reconocimiento e identificación rápida y transparente
• Controles de seguridad físicos inexistentes
• Recursos limitados
• Sincronización: copia desatendida
![Page 5: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/5.jpg)
14.11.2007 5I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
Conceptos Básicos
• Multitud de puntos de acceso y puertos de comunicación
• Limitadas capacidades de auditoria
• Permite instalación de programas
• Permite uso de conexiones privadas
• Dispositivo pensado para uso personal
• Demanda de mercado en empresas IT
![Page 6: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/6.jpg)
14.11.2007 6I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
Integración con la Infraestructura
• Tipo de Comunicación
– Dispositivos de red:• Tarjetas de Red WiFi, cámaras IP
– Dispositivos Bluetooth:• PDA, SmartPhones
– Dispositivos infrarojos:• PDA, SmartPhones
– Dispositivos radio:• Teclados, Ratones
– Acceso directo:• USB, SmartCards, Ipod
• Tipo de conexión
– Unidades CD/DVD
– Dispositivos USB
– Dispositivos Firewire
– Dispositivos PCMCIA
– SmartCards
![Page 7: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/7.jpg)
14.11.2007 7I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
• Dificultad para evitar el robo o perdida
• Dificultad para limitar el uso
• Dificultad para realizar auditoria y análisis de registros
• Dificultad de detección de violaciones de seguridad
• Dificultad de determinar la confidencialidad de las comunicaciones
Seguridad Móvil en Dispositivos Móviles
Amenazas Generales
![Page 8: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/8.jpg)
14.11.2007 8I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Vulnerabilidades Wi-Fi (802.11)
• Múltiples sistemas de cifrado con vulnerabilidades (WEP, WPA-PSK)
• Posibilidad de suplantación del Punto de Acceso
• Es difícil controlar la existencia de puntos de acceso sin control en una organización (RogueAPs).
• Al emplear bandas de frecuencia pública, es imposible evitar la captura de tráfico en tránsito entre dispositivos (Acceso al medio simple)
• El Wi-Fi se presta a ser empleado como método para filtrar información al exterior, difícilmente detectable.
Seguridad Móvil en Dispositivos Móviles
![Page 9: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/9.jpg)
14.11.2007 9I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Vulnerabilidades en Bluetooth
Seguridad Móvil en Dispositivos Móviles
• Código PIN– Se admite un código PIN corto.– No existe una forma de distribuir los
códigos PIN de forma segura• Claves
– La longitud de la clave de encriptación es negociable.
– La clave del miembro master es compartida.
– La clave de enlace se puede utilizar de forma maliciosa (se obtiene al comunicarte con alguien).
• Proceso de autenticación– Sólo se autentifica el dispositivo y no al
usuario.– El mecanismo de autenticación simple
(ataques de suplantación de identidad).• Ataques: Bluejacking, Bluepointing, Bluesnarfing, Bluebugging, DoS..
![Page 10: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/10.jpg)
14.11.2007 10I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Riesgos en la Seguridad de PDA’s, Blackberry y Smartphones
Seguridad Móvil en Dispositivos Móviles
• Están afectados por las vulnerabilidades de los protocolos de comunicación expuestos anteriormente
• La multitud de diferentes fabricantes, sistemas operativos y versiones del software hacen de estos equipos una puerta abierta ante la explotación y compromiso de la seguridad.
• Son puertas de entrada a la red corporativa, a menudo sin sistemas de seguridad específicos
• Ya existen virus para estas plataformas
![Page 11: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/11.jpg)
14.11.2007 11I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Dispositivos de Almacenamiento USB/Firewire
Seguridad Móvil en Dispositivos Móviles
• Algunos dispositivos de almacenamiento tienen acceso al sistema de archivos del equipo al que están conectados
• La política de autoejecución de contenido de Windows permite instalar software sin nuestro consentimiento
• El firmware (memoria interna) de un dispositivo de almacenamiento puede contener código ejecutable incontrolado.
![Page 12: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/12.jpg)
14.11.2007 12I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
• Los grandes olvidados en cualquier red informática, ¿Quién se preocupa de los teclados?
• Susceptibles a captura de la información transmitida por radiofrecuencia (wartyping)
• Fácilmente modificables para extraer información (keyloggers)
Seguridad en dispositivos radio: teclados y ratones
![Page 13: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/13.jpg)
14.11.2007 13I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
Contramedidas
• Integrar el uso de dispositivos móviles en las políticas de red (por ejemplo, en el controlador de dominio).
• Uso de software de cifrado obligatorio en los dispositivos de almacenamiento.
• Empleo de criptografía en las comunicaciones.
• Inventariado e inclusión de los dispositivos móviles en los procesos periódicos de auditoría de las plataformas IT.
• Integración de estos dispositivos en las Políticas, Normativas y Baselines de seguridad de la empresa. Concienciación y Sanciones.
![Page 14: SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES · 14.11.2007 I CICLO DE CONFERENCIAS ISACA-CV 9 “Rafael Bernal” Vulnerabilidades en Bluetooth Seguridad Móvil en Dispositivos Móviles](https://reader034.fdocuments.us/reader034/viewer/2022050211/5f5da33ebfdc1f4916617713/html5/thumbnails/14.jpg)
14.11.2007 14I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles