54. OWASP Mobile Top Ten

Click here to load reader

  • date post

    19-Jun-2015
  • Category

    Technology

  • view

    219
  • download

    1

Embed Size (px)

description

OWASP Mobile Top Ten

Transcript of 54. OWASP Mobile Top Ten

2. Lder del Captulo OWASP UruguayoOWASP DaysoOWASP Latam TouroOWASP AppSec Latam 2012Trabajo en Intel como consultor McAfee Foundstone:oPentesting / Ethical HackingoSocial EngineeringoCode ReviewoEntrenamientosoConsultoraAlgunas de mis certificaciones:oCISSPoISO 27001 Lead ImplementeroPCI QSAoITILoMCPMateo Martnez [email protected] 3. OWASP 4. Qu es OWASP? 5. El valor del voluntariado 6. 13Aos de servicio a la comunidad 7. ADN OWASP 8. OWASPEn nmeros 9. 1,350,000Visitas (por mes) 10. 170Proyectos Activos 11. 200Captulos Activos 12. 43,000+Participantes en listas de correos 13. 88+Citaciones de gobiernos e industrias! 14. 100+Academic Supporters 15. 54Sponsors Corporativos 16. 2300 Miembros 17. Global Board of Directors Michael Coates - Chairman - San Francisco, CA Tom Brennan - Vice Chairman - Rockaway, New Jersey Josh Sokol - Treasure - Austin, Texas - Tobias Gondrom - Secretary - Hong Kong, China - Eoin Keary - Board Member, Dublin Ireland - Jim Manico - Board Member - Hawaii - Fabio Cerullo - Board Member - Dublin, Ireland 18. 2014Objetivos Estratgicos 19. OWASPURUGUAYhttps://www.owasp.org/index.php/UruguayEventosEntrenamientosProyectosTraducciones 20. TOP 10Riesgos en Mviles 21. 570 millones: Usuarios de mviles366 millones: Acceso a un bao2000 millones: Descargas de Angry BirdsTrfico de internet mvil > PC+2 Billones de dispositivos conectados,En el 2020 habr ms de 60 Billones 22. Mobile Malware 23. Tendencias #124 24. Tendencias #225 25. Tendencias #326 26. Tendencias #527 27. Seguridad PC vs MvilLos desafos en los ambientes mviles motivan a un cambio en el enfoqueAMENAZASVECTORESENTORNOPCMvilMalware, Virus, Phishing, Stolen Data, Trojans, DoS, Social EngineeringSimilar al PC +Prdida de dispositivo, eavesdropping, fraude SMSBrowser, Bluetooth, Wi- Fi, Cellular Network, Cross Channel, EmailSimilar al PC +SMS, MMS, App downloadsHomogenous OS environmentLargely local computing centricFragmented OS environmentCloud-centric, tethered to OS providerSimilitud= += + 28. Proteccin en dispositivos perdidos4%5%11%17%19%31%57%0%10%20%30%40%50%60%OtherAnti-virus/anti-malwareClient firewallPassword or keypad lockEncryptionAnti-theft deviceNo protection 29. La mobilidad trae nuevos riesgosITHRFinanceSalesITPolticas diferentes entre usuarios IT y mvilesMs de la mitad de los usuario NO bloquean los equipos1 de cada 5 equipos mviles se pierde por aoLos dispositivos mviles la nueva frontera del malware 30. Web 2.0, Apps 2.0, Mobility 2.0Enterprise 2.0ITHRFinanceSalesIT60,000 Nuevas piezas de Malware/daCosto de la informacin de un laptop: $25-50K80% de los usuarios concientes de la prdida de InformacinZeus Malware apunta a mobile phones via SMSSeptember 30, 2014 31. TOP 10Riesgos en Mviles 32. M1 Controles Dbiles en el ServidorRiesgos del OWASP TOP 10SQL Injection, CSRF, etcPrcticas de Desarrollo de Software Inseguro 33. M2 Amacenamiento InseguroNO GUARDAR CREDENCIALESAlmacenar en forma seguraSQLite, Logs, Plist, XML, Cookies, SD Card, Cloud Synced 34. M3 Transmisin inseguraAplicar SSL/TLSUtilizar algoritmos segurosCertificados confiablesAlertar al usuario 35. M4 Fuga de Informacin no intencionalModelado de amenazas de OS, platfoms & frameworksCache de datos, logs, cookiesDesconocidos para el Developer 36. M5 Autorizacin y AutenticacinNo autenticar solo a nivel localCifrar datos localesRember-me4-digit PIN 37. M6 Criptografa InseguraProcesos de Cifrado/DescifradoAlgortmos dbilesKey Management 38. M7 Inyeccin del lado del ClienteSQLite InjectionSniffing (intent) en AndroidInyeccin de JavascriptLocal File Inlclusion (NFSFile, Webviews) 39. M8 Decisiones de seguridad basados en inputs no confiablesCommunicacin entre procesosDatos en clipboards/pasteboardsModelo de permisos del SONo utilizar mtodos deprecated 40. M9 Manejo de SesionesSesin del lado del clienteTimeout de sesiones inadecuadoSesin basada en cookiesCreacin insegura de tokens 41. M10 Proteccin de BinariosPrevenir ReversingMonitorear Integridad de la AppDetectar Jailbreak / Rooted 42. Para los que quieran practicar DVIA (Damn Vuln iOS App)Goat DroidiGoat 43. OWASP Cheat Sheetshttps://www.owasp.org/index.php/OWASP_Cheat_Sheet_SeriesDangers of Jailbreaking and Rooting MobilesiOS Developer Cheat SheetiOS Application Security TestingMobile Jaibreaking Cheat Sheet 44. Gran crecimiento de amenazas para mvilesRiesgos diferentes a Cloud y Web AppsImportancia del Desarrollo Seguro de AppsEs necesario incrementar las pruebas de seguridadDefinir polticas, procesos y procedimientosLos costos por no aplicar controles son altos45Conclusiones 45. Muchas gracias!Mateo [email protected]