MOBILE TOP 10

Mateo Martínez mateo_martinez@owasp.org

• Líder del Capítulo OWASP Uruguay o OWASP Days o OWASP Latam Tour o OWASP AppSec Latam 2012

• Trabajo en Intel como consultor McAfee Foundstone: o Pentesting / Ethical Hacking o Social Engineering o Code Review o Entrenamientos o Consultoría

• Algunas de mis certificaciones:

o CISSP o ISO 27001 Lead Implementer o PCI QSA o ITIL o MCP

Mateo Martínez

mateo_martinez@owasp.org

OWASP

¿Qué es OWASP?

El valor del voluntariado

13 Años de servicio a la comunidad

ADN OWASP

OWASP En números

1,350,000 Visitas (por mes)

170 Proyectos Activos

200 Capítulos Activos

43,000+ Participantes en listas de correos

88+ Citaciones de gobiernos e industrias!

100+ Academic Supporters

54 Sponsors Corporativos

2300 Miembros

Global Board of Directors – Michael Coates - Chairman - San Francisco, CA – Tom Brennan - Vice Chairman - Rockaway, New Jersey – Josh Sokol - Treasure - Austin, Texas - Tobias Gondrom - Secretary - Hong Kong, China - Eoin Keary - Board Member, Dublin Ireland - Jim Manico - Board Member - Hawaii - Fabio Cerullo - Board Member - Dublin, Ireland

2014 Objetivos Estratégicos

OWASP URUGUAY

https://www.owasp.org/index.php/Uruguay • Eventos • Entrenamientos • Proyectos • Traducciones

TOP 10 Riesgos en Móviles

570 millones: Usuarios de móviles 366 millones: Acceso a un baño 2000 millones: Descargas de Angry Birds Tráfico de internet móvil > PC

+2 Billones de dispositivos conectados, En el 2020 habrá más de 60 Billones

Mobile Malware

Tendencias #1

24

Tendencias #2

25

Tendencias #3

26

Tendencias #5

27

Seguridad PC vs Móvil

Los desafíos en los ambientes móviles motivan a un cambio en el enfoque

AMENAZAS

VECTORES

ENTORNO

PC Móvil

• Malware, Virus, Phishing, Stolen Data, Trojans, DoS, Social Engineering

• Similar al PC + • Pérdida de dispositivo,

eavesdropping, fraude SMS

• Browser, Bluetooth, Wi-Fi, Cellular Network, Cross Channel, Email

• Similar al PC + • SMS, MMS, App

downloads

• Homogenous OS environment

• Largely local computing centric

• Fragmented OS environment

• Cloud-centric, tethered to OS provider

Similitud

= +

= +

≠

Protección en dispositivos perdidos

4%

5%

11%

17%

19%

31%

57%

0% 10% 20% 30% 40% 50% 60%

Other

Anti-virus/anti-malware

Client firewall

Password or keypad lock

Encryption

Anti-theft device

No protection

La mobilidad trae nuevos riesgos

IT

HR

Finance

Sales IT

Políticas diferentes entre usuarios IT y móviles

Más de la mitad de los usuario NO bloquean los equipos

1 de cada 5 equipos móviles se pierde por año Los dispositivos

móviles la nueva frontera del malware

Web 2.0, Apps 2.0, Mobility 2.0…Enterprise 2.0

IT

HR

Finance

Sales IT

60,000 Nuevas piezas de Malware/día

Costo de la información de un laptop: $25-50K

80% de los usuarios concientes de la pérdida de Información

Zeus Malware apunta a mobile phones via SMS

September 30, 2014

TOP 10 Riesgos en Móviles

M1 – Controles Débiles en el Servidor

• Riesgos del OWASP TOP 10

• SQL Injection, CSRF, etc

• Prácticas de Desarrollo de

Software Inseguro

M2 – Amacenamiento Inseguro

• NO GUARDAR CREDENCIALES

• Almacenar en forma segura

• SQLite, Logs, Plist, XML,

Cookies, SD Card, Cloud Synced

M3 – Transmisión insegura

• Aplicar SSL/TLS

• Utilizar algoritmos seguros

• Certificados confiables

• Alertar al usuario

M4 – Fuga de Información no intencional

• Modelado de amenazas de OS,

platfoms & frameworks

• Cache de datos, logs, cookies

• Desconocidos para el Developer

M5 – Autorización y Autenticación

• No autenticar solo a nivel local

• Cifrar datos locales

• Rember-me

• 4-digit PIN

M6 – Criptografía Insegura

• Procesos de Cifrado/Descifrado

• Algorítmos débiles

• Key Management

M7 – Inyección del lado del Cliente

• SQLite Injection

• Sniffing (intent) en Android

• Inyección de Javascript

• Local File Inlclusion (NFSFile, Webviews)

M8 – Decisiones de seguridad basados en inputs no confiables

• Communicación entre procesos

• Datos en clipboards/pasteboards

• Modelo de permisos del SO

• No utilizar métodos deprecated

M9 – Manejo de Sesiones

• Sesión del lado del cliente

• Timeout de sesiones inadecuado

• Sesión basada en cookies

• Creación insegura de tokens

M10 – Protección de Binarios

• Prevenir Reversing

• Monitorear Integridad de la App

• Detectar Jailbreak / Rooted

Para los que quieran practicar …

• DVIA (Damn Vuln iOS App)

• Goat Droid

• iGoat

OWASP Cheat Sheets

https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series

• Dangers of Jailbreaking and Rooting Mobiles

• iOS Developer Cheat Sheet

• iOS Application Security Testing

• Mobile Jaibreaking Cheat Sheet

Gran crecimiento de amenazas para móviles

Riesgos diferentes a Cloud y Web Apps

Importancia del Desarrollo Seguro de Apps

Es necesario incrementar las pruebas de seguridad

Definir políticas, procesos y procedimientos

Los costos por no aplicar controles son altos 45

Conclusiones

¡Muchas gracias!

Mateo Martínez mateo_martinez@owasp.org