14.11.2007 1
SEGURIDAD MÓVIL EN DISPOSITIVOS MÓVILES
D. José Miguel Cardona Pastor, CISAGerente Responsable del Área de Levante de TSRS (Technology
and Security Risk Services) de Ernst&Young.
14.11.2007 2I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
2
Introducción
Tecnologías móviles
Vulnerabilidades
Contramedidas
3
4
1
14.11.2007 3I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
Dispositivos Móviles
14.11.2007 4I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
Conceptos Básicos
• Tamaño reducido
• Bajo coste
• Alta movilidad
• Reconocimiento e identificación rápida y transparente
• Controles de seguridad físicos inexistentes
• Recursos limitados
• Sincronización: copia desatendida
14.11.2007 5I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
Conceptos Básicos
• Multitud de puntos de acceso y puertos de comunicación
• Limitadas capacidades de auditoria
• Permite instalación de programas
• Permite uso de conexiones privadas
• Dispositivo pensado para uso personal
• Demanda de mercado en empresas IT
14.11.2007 6I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
Integración con la Infraestructura
• Tipo de Comunicación
– Dispositivos de red:• Tarjetas de Red WiFi, cámaras IP
– Dispositivos Bluetooth:• PDA, SmartPhones
– Dispositivos infrarojos:• PDA, SmartPhones
– Dispositivos radio:• Teclados, Ratones
– Acceso directo:• USB, SmartCards, Ipod
• Tipo de conexión
– Unidades CD/DVD
– Dispositivos USB
– Dispositivos Firewire
– Dispositivos PCMCIA
– SmartCards
14.11.2007 7I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
• Dificultad para evitar el robo o perdida
• Dificultad para limitar el uso
• Dificultad para realizar auditoria y análisis de registros
• Dificultad de detección de violaciones de seguridad
• Dificultad de determinar la confidencialidad de las comunicaciones
Seguridad Móvil en Dispositivos Móviles
Amenazas Generales
14.11.2007 8I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Vulnerabilidades Wi-Fi (802.11)
• Múltiples sistemas de cifrado con vulnerabilidades (WEP, WPA-PSK)
• Posibilidad de suplantación del Punto de Acceso
• Es difícil controlar la existencia de puntos de acceso sin control en una organización (RogueAPs).
• Al emplear bandas de frecuencia pública, es imposible evitar la captura de tráfico en tránsito entre dispositivos (Acceso al medio simple)
• El Wi-Fi se presta a ser empleado como método para filtrar información al exterior, difícilmente detectable.
Seguridad Móvil en Dispositivos Móviles
14.11.2007 9I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Vulnerabilidades en Bluetooth
Seguridad Móvil en Dispositivos Móviles
• Código PIN– Se admite un código PIN corto.– No existe una forma de distribuir los
códigos PIN de forma segura• Claves
– La longitud de la clave de encriptación es negociable.
– La clave del miembro master es compartida.
– La clave de enlace se puede utilizar de forma maliciosa (se obtiene al comunicarte con alguien).
• Proceso de autenticación– Sólo se autentifica el dispositivo y no al
usuario.– El mecanismo de autenticación simple
(ataques de suplantación de identidad).• Ataques: Bluejacking, Bluepointing, Bluesnarfing, Bluebugging, DoS..
14.11.2007 10I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Riesgos en la Seguridad de PDA’s, Blackberry y Smartphones
Seguridad Móvil en Dispositivos Móviles
• Están afectados por las vulnerabilidades de los protocolos de comunicación expuestos anteriormente
• La multitud de diferentes fabricantes, sistemas operativos y versiones del software hacen de estos equipos una puerta abierta ante la explotación y compromiso de la seguridad.
• Son puertas de entrada a la red corporativa, a menudo sin sistemas de seguridad específicos
• Ya existen virus para estas plataformas
14.11.2007 11I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Dispositivos de Almacenamiento USB/Firewire
Seguridad Móvil en Dispositivos Móviles
• Algunos dispositivos de almacenamiento tienen acceso al sistema de archivos del equipo al que están conectados
• La política de autoejecución de contenido de Windows permite instalar software sin nuestro consentimiento
• El firmware (memoria interna) de un dispositivo de almacenamiento puede contener código ejecutable incontrolado.
14.11.2007 12I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
• Los grandes olvidados en cualquier red informática, ¿Quién se preocupa de los teclados?
• Susceptibles a captura de la información transmitida por radiofrecuencia (wartyping)
• Fácilmente modificables para extraer información (keyloggers)
Seguridad en dispositivos radio: teclados y ratones
14.11.2007 13I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
Contramedidas
• Integrar el uso de dispositivos móviles en las políticas de red (por ejemplo, en el controlador de dominio).
• Uso de software de cifrado obligatorio en los dispositivos de almacenamiento.
• Empleo de criptografía en las comunicaciones.
• Inventariado e inclusión de los dispositivos móviles en los procesos periódicos de auditoría de las plataformas IT.
• Integración de estos dispositivos en las Políticas, Normativas y Baselines de seguridad de la empresa. Concienciación y Sanciones.
14.11.2007 14I CICLO DE CONFERENCIAS ISACA-CV “Rafael Bernal”
Seguridad Móvil en Dispositivos Móviles
