Seguridad en Smartphones
Hernán [email protected]
16 de Septiembre de 2009Buenos Aires - Argentina
Tendencias de la Tecnología en Seguridad Informática 2009
2
¿Qué es?
Seguridad en Smartphones
Es un dispositivo móvil de mano, que aprovecha la convergencia y la integración de las comunicaciones unificadas actuales
Integración de medios de comunicación actuales:
• Mail y WWW• Voz• Voz sobre IP• Video• Mensajería instantánea• Datos
3
¿Qué es?
Seguridad en Smartphones
Características que posee:
Mayor poder de procesamiento
… de comunicación inalámbrica
… de almacenamiento de datos
Menor tamaño
4
¿Qué es?
Seguridad en Smartphones
La evolución del software acompaña a la del hardware, y ya es posible encontrar todo tipo de aplicaciones para estos dispositivos.
Software disponible:• Documentos MS Office• Documentos PDF• Correo Electrónico• Agenda• Calendario• GPS• SAP & JD EDWARDS• Web Browser• Rep. Música• y un largo etc. (hacking
included)
5
Evolución
Seguridad en Smartphones
Principios de los ‘90:
• Touchscreen
• Calendario
• Lib. de direcciones
• Notepad & Email
Mediados de los ‘90:• Celular + PDA• SO: DOS!!!• Email• Web browser• App. para redacción• Tecl. QWERTY
Principios del ‘00:
• Menor tamaño
• Pantallas color
• Mas aplicaciones
• Soluciones Corp.
• Mas conectividad
Mediados del ‘00:
• PC de mano
• Mas seguridad
• GPS, WiFi y 3G
• Video streaming
• Aplicaciones ERP
1990 2000 2010
6
Soluciones corporativas
Seguridad en Smartphones
En la actualidad existen dos soluciones corporativas de smartphones
BlackBerry Enterprise Server
MS Exchange ActiveSync
MS System Center Mobile Device Manager
+
7
Soluciones corporativas
Seguridad en Smartphones
Las soluciones corporativas no son simples aplicaciones, sino son soluciones que disponen de una amplia cantidad de recursos que permiten (entre otros):
Gestión de la autenticación a los dispositivos y servicios
Aplicación de políticas de contraseñas
Administración de usuarios y dispositivos
Cifrado de las comunicaciones y los dispositivos
Restricciones de funcionalidades y aplicaciones
Auditoría de la consola central y de los dispositivos
Administración centralizada
Aplicación de políticas de forma remota
8
Soluciones corporativas
Seguridad en Smartphones
En las compañías se aumentó considerablemente el uso de los smartphones
Primero los Directores
Luego los Gerentes
Ahora también IT !!!
9
Inseguridad
10
Seguridad en Smartphones
Inseguridad
Según una encuesta reciente a usuarios de smartphones:
• El 44% de los encuestados tiene la sensación de que navegar por Internet desde sus smartphones (que pueden no estar equipados con software de seguridad) es tan seguro, si no más, como navegar desde su PC
• Sólo el 23% de los usuarios de smartphones utiliza software de seguridad ya integrado
• El 20% considera que instalar un programa de software de seguridad en sus teléfonos no resulta muy efectivo
• Casi la mitad de los encuestados han sido infectados por malware
• El 20% de los mismos se han encontrado con algún fraude de phishing
• El 50% reconocen haber abierto los archivos adjuntos en el emaildurante el último mes, mientras que casi el 40% ha hecho clic en el link de la URL recibida en el email desde su teléfono
*Trend Micro: http://es.trendmicro.com/es/about/news/pr/article/20090824105137.html
11
Seguridad en Smartphones
Inseguridad
Riesgos comunes
Robo, hurto o pérdida del dispositivo
Robo o suplantación de identidad
Propagación de virus por Mensajería Instantánea
Phishing a través del correo electrónico
Múltiples nuevas formas de Ingeniería Social
Interceptación de tráfico de datos
Escuchas telefónicas
Robo/Uso no autorizado de servicios de proveedores
Ataques al dispositivo a través de la red IP de WiFi o 3G
12
Seguridad en Smartphones
Inseguridad
Comunicaciones:
• GSM: interceptación de tráfico de voz
• SMS-MMS: Interceptación de tráfico de datos, spam, phishing, vulnerabilidades
• Bluethooth: BlueBug, BluePrinting, BlueSmack, BlueSnarf, BlueBump, Blue*, etc.
• Wi-Fi: Cracking WEP, Cracking WPA, AP & Client DoS, Evil Twin, etc.
• 3G: dirigidos a la dirección IP del dispositivo, interceptación de trafico, etc.
Ataques específicos
13
Seguridad en Smartphones
Inseguridad
Ataques específicos
Software:
• Software Malicioso: worms, rootkits, keyloggers, virus, troyanos, etc.
• Vulnerabilidades: en las aplicaciones utilizadas
• Errores de configuración: en la seguridad de las aplicaciones utilizadas
14
Seguridad en Smartphones
Inseguridad
Ataques específicos
Usuario:
• Phishing: vía SMS o Mail, con acceso directo a Internet desde el dispositivo
• Spam: como transporte de virus, worms, exploits específicos, etc.
• Ingeniería social: mediante SMS, Mail, voz o Web.
15
Seguridad
16
Seguridad en Smartphones
Seguridad
A los smartphones, como parte de una solución corporativa, se le deben aplicar las mismasconsideraciones que a las laptops.
La seguridad en un smartphone es igualmente crítica.
Las soluciones corporativas disponen de la posibilidad de incorporar un gateway o router en la DMZ y permitir la implementación del servidor principal de la solución en la red de servidores.
En general…
17
Seguridad en Smartphones
Seguridad
• GSM, SMS-MMS y 3G: cifrado adicional de las comunicaciones de voz tradicional y datos
• Bluethooth: deshabilitarlo, y ser precavidos cuando se apareen con otros dispositivos o accesorios (hacerlo en un lugar seguro)
• Wi-Fi: utilizar preferentemente WPA2 Enterprise (con autenticación), usar claves seguras y cambiarlas periódicamente. Evitar los AP públicos o utilizar SSL en cualquier comunicación a través de estos
Mitigando los ataques específicos
Comunicaciones
18
Seguridad en Smartphones
Seguridad
• Software Malicioso: utilizar software antivirus y firewall. Aplicar restricciones sobre la instalación de software adicional en los dispositivos
• Vulnerabilidades: mantener actualizadas las aplicaciones, estar atentos a las nuevas vulnerabilidades, los parches y los workarounds
• Errores de Configuración: confeccionar estándares de seguridad para la configuración de los servicios y los dispositivos. Verificarlos periódicamente.
Mitigando los ataques específicos
Software
19
Seguridad en Smartphones
Seguridad
• Phishing e Ingeniería Social: Educación, concientización o capacitación de los usuarios que utilizan los dispositivos.
• Spam: software antivirus y antispam para el análisis de los correos entrantes que son derivados al dispositivo. Mas educación, mas concientización y mas capacitación :-)
Mitigando los ataques específicos
Usuario