54. OWASP Mobile Top Ten
0 recomendaciones1,357 vistas
Este documento presenta información sobre Mateo Martínez, un experto en seguridad móvil y líder del capítulo de OWASP en Uruguay. Describe los 10 principales riesgos de seguridad en dispositivos móviles, incluidos controles débiles en el servidor, almacenamiento inseguro de datos, transmisión insegura y manejo inseguro de sesiones. También discute las tendencias en malware móvil, la falta de protección de dispositivos perdidos y los desafíos únicos que plantea la seguridad mó
54. OWASP Mobile Top Ten
- 1. MOBILE TOP 10 Mateo Martínez mateo_martinez@owasp.org
- 2. • Líder del Capítulo OWASP Uruguay o OWASP Days o OWASP Latam Tour o OWASP AppSec Latam 2012 • Trabajo en Intel como consultor McAfee Foundstone: o Pentesting / Ethical Hacking o Social Engineering o Code Review o Entrenamientos o Consultoría • Algunas de mis certificaciones: o CISSP o ISO 27001 Lead Implementer o PCI QSA o ITIL o MCP Mateo Martínez mateo_martinez@owasp.org
- 3. OWASP
- 5. El valor del voluntariado
- 6. 13 Años de servicio a la comunidad
- 7. ADN OWASP
- 9. 1,350,000 Visitas (por mes)
- 12. 43,000+ Participantes en listas de correos
- 13. 88+ Citaciones de gobiernos e industrias!
- 16. 2300 Miembros
- 17. Global Board of Directors – Michael Coates - Chairman - San Francisco, CA – Tom Brennan - Vice Chairman - Rockaway, New Jersey – Josh Sokol - Treasure - Austin, Texas - Tobias Gondrom - Secretary - Hong Kong, China - Eoin Keary - Board Member, Dublin Ireland - Jim Manico - Board Member - Hawaii - Fabio Cerullo - Board Member - Dublin, Ireland
- 20. OWASP URUGUAY https://www.owasp.org/index.php/Uruguay • Eventos • Entrenamientos • Proyectos • Traducciones
- 21. TOP 10 Riesgos en Móviles
- 22. 570 millones: Usuarios de móviles 366 millones: Acceso a un baño 2000 millones: Descargas de Angry Birds Tráfico de internet móvil > PC +2 Billones de dispositivos conectados, En el 2020 habrá más de 60 Billones
- 23. Mobile Malware
- 24. Tendencias #1 24
- 25. Tendencias #2 25
- 26. Tendencias #3 26
- 27. Tendencias #5 27
- 28. Seguridad PC vs Móvil Los desafíos en los ambientes móviles motivan a un cambio en el enfoque AMENAZAS VECTORES ENTORNO PC Móvil • Malware, Virus, Phishing, Stolen Data, Trojans, DoS, Social Engineering • Similar al PC + • Pérdida de dispositivo, eavesdropping, fraude SMS • Browser, Bluetooth, Wi- Fi, Cellular Network, Cross Channel, Email • Similar al PC + • SMS, MMS, App downloads • Homogenous OS environment • Largely local computing centric • Fragmented OS environment • Cloud-centric, tethered to OS provider Similitud = + = + ≠
- 29. Protección en dispositivos perdidos 4% 5% 11% 17% 19% 31% 57% 0% 10% 20% 30% 40% 50% 60% Other Anti-virus/anti-malware Client firewall Password or keypad lock Encryption Anti-theft device No protection
- 30. La mobilidad trae nuevos riesgos IT HR Finance Sales IT Políticas diferentes entre usuarios IT y móviles Más de la mitad de los usuario NO bloquean los equipos 1 de cada 5 equipos móviles se pierde por año Los dispositivos móviles la nueva frontera del malware
- 31. Web 2.0, Apps 2.0, Mobility 2.0…Enterprise 2.0 IT HR Finance Sales IT 60,000 Nuevas piezas de Malware/día Costo de la información de un laptop: $25-50K 80% de los usuarios concientes de la pérdida de Información Zeus Malware apunta a mobile phones via SMS September 30, 2014
- 32. TOP 10 Riesgos en Móviles
- 33. M1 – Controles Débiles en el Servidor • Riesgos del OWASP TOP 10 • SQL Injection, CSRF, etc • Prácticas de Desarrollo de Software Inseguro
- 34. M2 – Amacenamiento Inseguro • NO GUARDAR CREDENCIALES • Almacenar en forma segura • SQLite, Logs, Plist, XML, Cookies, SD Card, Cloud Synced
- 35. M3 – Transmisión insegura • Aplicar SSL/TLS • Utilizar algoritmos seguros • Certificados confiables • Alertar al usuario
- 36. M4 – Fuga de Información no intencional • Modelado de amenazas de OS, platfoms & frameworks • Cache de datos, logs, cookies • Desconocidos para el Developer
- 37. M5 – Autorización y Autenticación • No autenticar solo a nivel local • Cifrar datos locales • Rember-me • 4-digit PIN
- 38. M6 – Criptografía Insegura • Procesos de Cifrado/Descifrado • Algorítmos débiles • Key Management
- 39. M7 – Inyección del lado del Cliente • SQLite Injection • Sniffing (intent) en Android • Inyección de Javascript • Local File Inlclusion (NFSFile, Webviews)
- 40. M8 – Decisiones de seguridad basados en inputs no confiables • Communicación entre procesos • Datos en clipboards/pasteboards • Modelo de permisos del SO • No utilizar métodos deprecated
- 41. M9 – Manejo de Sesiones • Sesión del lado del cliente • Timeout de sesiones inadecuado • Sesión basada en cookies • Creación insegura de tokens
- 42. M10 – Protección de Binarios • Prevenir Reversing • Monitorear Integridad de la App • Detectar Jailbreak / Rooted
- 43. Para los que quieran practicar … • DVIA (Damn Vuln iOS App) • Goat Droid • iGoat
- 44. OWASP Cheat Sheets https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series • Dangers of Jailbreaking and Rooting Mobiles • iOS Developer Cheat Sheet • iOS Application Security Testing • Mobile Jaibreaking Cheat Sheet
- 45. Gran crecimiento de amenazas para móviles Riesgos diferentes a Cloud y Web Apps Importancia del Desarrollo Seguro de Apps Es necesario incrementar las pruebas de seguridad Definir políticas, procesos y procedimientos Los costos por no aplicar controles son altos 45 Conclusiones
- 46. ¡Muchas gracias! Mateo Martínez mateo_martinez@owasp.org