Fuga de datos en dispositivos móviles... batalla (casi) perdida!!! Juan Dávila, CISA, CISM, CRISC, Cobit 5 F ISO 27001 LA, ISO 22301 LA www.isaca.org.uy Hoy hablaremos de… www.isaca.org.uy Agenda • • • • Comportamientos y cultura en DM. Riesgos en DM. Propuestas “ingenuosas” (algunas). ¿…tons qué? ¿hay fuga o qué? www.isaca.org.uy ¿Qué pasa con los DM? • “Cualquiera puede hacer lo que quiera en un DM, lo que sea…, obviamente, sin que los dueños del DM lo sepan”, Mathew Solnik, Black Hat 2014 • Instalar una aplicación, desconfigurar el equipo, volver a la configuración de fábrica, cambiar el PIN, ... • Ahora, el agregado es que el DM todo el tiempo está … • Esto significa que todos nuestros datos en el DM están …, www.isaca.org.uy No olvidemos que… www.isaca.org.uy Por ej. Android se basa en … www.isaca.org.uy Comportamientos y cultura www.isaca.org.uy Comportamientos y cultura • En muy pocos años, los DM serán las computadoras personales para todo efecto. • Esa que dice: Es que aún no llego a la oficina/casa para ver mis correos…hmmmm !!! • Preguntas ingenuas: ¿Quién tiene nuestro número de teléfono, IMEI, ubicación física, UDID, …? www.isaca.org.uy Comportamientos y cultura www.isaca.org.uy Comportamientos y cultura • A ver, a ver…, si no te sucede, no entiendes (cabalmente)… si no entiendes, no lo valoras, …, si no lo valoras, …muy probablemente no actuarás en consecuencia. • TI no sabe lo que hace el usuario con sus DM. • En mi país hay alta probabilidad de eventos sísmicos (vivimos al borde de un abismo, de modo que… lamentablemente… es cuestión de tiempo); sin embargo, cuando incluyes el riesgo de eventos sísmicos, nadie nos da pelota !! www.isaca.org.uy Incentivos !! www.isaca.org.uy Riesgos en DM • • • • • • ¿Cuántas formas de identificar DM conocemos? Número, SIM, IMEI, UDID, IMSI, IP, MAC, … ¿Qué elementos identifican al tráfico entre DM? Tramas, datagramas, paquetes, … Texto, audio, imágenes, … Proveedores, direcciones IP, servidores, geolocalización por GPS o EBC, … www.isaca.org.uy Riesgos en DM • Capa Física: Robos, pérdidas, … • Capa Aplicación: Gestión remota, recolección de datos, malware, … • Capa SSOO: Parcheos, … • Capa Normativa: Políticas, uso aceptable, BYOD… • Capa 8 (usuario) (cultural): La más pen…. www.isaca.org.uy Riesgos en DM www.isaca.org.uy Riesgos en DM www.isaca.org.uy Riesgos en DM • Datos, puertos, servicios, infraestructura corporativa. • Acceso a SSOO, aplicaciones del DM, configuración del DM, aplicativos de negocio y todo lo que esté instalado en el DM. • A propósito, vieron que cuando se instalan aplicaciones, siempre pide permisos para acceder a elementos de configuración? www.isaca.org.uy Si instalas un App… www.isaca.org.uy Riesgos en DM www.isaca.org.uy Ecosistemas en DM • Los ecosistemas en DM están muy por detrás de la infraestructura establecida de parches para los sistemas de escritorio y laptops. • Por ej. En Android, cuando los “parcheros” encuentran un nuevo bug, arreglarlo supone ir por Google, luego a través de los fabricantes, los operadores y recién allí, a los usuarios. • ¿Resultado? TI tiene poca visión hacia dentro y ningún control efectivo sobre la gestión de vulnerabilidad en la seguridad de los DM. www.isaca.org.uy Capa SSOO www.isaca.org.uy Capa 8 – Inquietudes • El usuario ignora las advertencias de seguridad, actualizaciones sugeridas, permisos, avisos de contraseñas, etc. • ¿Cuántos de aquí tienen contraseña de arranque? • ¿De los que dijeron “sí”, cuántos utilizan 4 números? • El comportamiento del usuario implica un riesgo mayor dado que carece de conciencia de seguridad de información. • Programas de concientización aislados, sin monitoreo y verificación de efectividad. • ¿Los usuarios utilizan su DM para acceder a los datos de la empresa? www.isaca.org.uy Capa 8 – Revelaciones • Menos del 50% de propietarios de DM usan contraseñas o números de identificación personal (PINs) (% mucho menor que los usuarios de PC). • Entre los que hacen operaciones bancarias en DM, el 50% encripta los datos o usa algún tipo de software de seguridad. • Menos del 33% de los usuarios usa antivirus en sus DM en comparación con un 91% en el portátil. • El 45% de las personas no consideran la ciberseguridad en sus DM como una amenaza similar a la de sus computadores. Estudio: Mayo 2014, Harris Interactive encargada por el CTIA [The Wireless Association]. www.isaca.org.uy Proyecto Symantec: HoneyStick • ¿Qué hacen ustedes cuando encuentran un smartphone? • Se “perdieron” 30 smartphones (monitoreados), con aplicaciones, datos personales simulados, … • 5 intentaron devolverlo. • 29 intentaron acceder a datos y aplicaciones. • 24 revisaron datos, fotos y redes sociales. • 14 intentaron acceder al correo electrónico. • 18 intentaron acceder al archivo de “contraseñas”. www.isaca.org.uy Artificios !!! • Haga una auditoría de DM devueltos. • Compre DM usados (second-hand). • Pida un DM prestado. • Al devolverlo, si son táctiles, lustre bien la pantalla… www.isaca.org.uy ¿ … tons qué? • ¿Se han preguntado qué diferencia a las tablets de los smartphones? • ¿Cuál de ellas utiliza casi exclusivamente redes WiFi? • ¿Eso qué significa? • Volviendo a la pregunta, ustedes ¿qué opinan? • Obviamente, hay que considerar el apetito de riesgo www.isaca.org.uy Capa 8 – Consejos • Contraseña de arranque (más compleja que 4 dígitos). • Contraseña de bloqueo (diferente). iPhone 5S permite utilizar huella dactilar para desbloqueo. Windows Phone utiliza Bitlocker. • Cifrado / Localización / Bloqueo y/o borrado remoto ... • Evite guardar información confidencial. • Respaldo periódico. • Almacenamiento Off-Site: IMEI, contraseña y número del DM para reporte de pérdida o robo. www.isaca.org.uy Estrategias • MDM (Mobile Device Management): Orientado a la gestión y al control centralizado de los DM corporativos o personales. Permite contar con toda la información referente al aparato, monitorizarlo, configurar políticas, aplicaciones y tener un historial de cada equipo, entre otras funcionalidades. • MDP (Mobile Device Protection): Mecanismo utilizado para la protección del propio dispositivo móvil a través de la instalación de un cliente VPN/SSL, un antivirus, el uso de cifrado y de métodos de autenticación robustos. www.isaca.org.uy Estrategias • NAC (Network Access Control): Controlar el acceso a la red corporativa de cada dispositivo móvil. Permite, entre otras cosas, determinar si el equipo es personal o de la compañía, aplicar políticas de seguridad para operaciones sensibles realizadas a través del dispositivo y reparar dispositivos por medio de la instalación y actualización de aplicaciones por medio de VLAN y considerando el perfil de autenticación del mismo. • MAM (Mobile Application Management): Gestiona las aplicaciones a partir de listas negras y blancas, provee entornos virtuales, aplica políticas P2P, entre otras funcionalidades. www.isaca.org.uy Estrategias • MDS (Mobile Data Security): Mecanismo encargado de la seguridad de los datos, la protección de los puertos Wi-Fi, Bluetooth y mini USB del dispositivo, así como la instalación de un cliente DLP (para controlar y evitar la pérdida de datos) y el uso de IRM (para administrar los derechos sobre la información). IMPORTANTE: Implementar estos mecanismos de seguridad puede implicar uso de servicios de nube pública o privada. Eso depende de las políticas y los recursos de cada compañía. www.isaca.org.uy Estrategias www.isaca.org.uy Opciones – Blackphone (Android) • Apps de seguridad y cifrado vía PrivOS. • Aplicaciones: Silent Voice y Silent Text permiten realizar llamadas y enviar textos de forma privada. • Aplicaciones: SpiderOak crea una nube privada para backup cifrado de información de usuarios. • Navegación: Privada vía VPN, las búsquedas no dejan direcciones IP ni almacenan cookies. El gestor WiFi sólo se conecta a puntos de acceso con relación de confianza. www.isaca.org.uy Configuraciones básicas • Navegador: Configuración – Guardar contraseñas • Navegador: Configuración – Privacidad – Don´t track • Navegador: Configuración – Configuración de contenido – Configuración de sitios web – Borrar datos almacenados • Navegador: Configuración – Gestión de ancho de banda – Reducir el uso de datos. • Ubicación: Access my ubication / Wi-Fi / Bluetooth / … • Compartir acceso a Internet www.isaca.org.uy Configuraciones básicas • Permisos para aplicaciones: Ubicación – comunicación de red – mensajes – información personal – cuentas – espacio de almacenamiento – controles de hardware – herramientas del sistema - … • Borrar datos asociados a las aplicaciones: Archivos – configuración – cuentas – BBDD – … • Borrar datos de memoria caché. • Bloquear la visibilidad de su número www.isaca.org.uy ¿Y si invertimos la figura? • El móvil como elemento de seguridad. • ¿WTF? www.isaca.org.uy OTP • HW: Tokens no son baratos. • Despliegue, gestión de cuentas, monitoreo de (mal) uso, compartición de cuentas-tokens, … • Los usuarios deben ingresar un código. • A los usuarios no les gustan los códigos !!! www.isaca.org.uy Imaginemos que … www.isaca.org.uy Pero …, hay un problema !! • Por default, nuestros DM simplemente… www.isaca.org.uy Una forma es … • California obligará incluir el bloqueo remoto “kill switch” a todos los smartphones en 2015, además de Minessota… www.isaca.org.uy Bue… cambiemos !!! www.isaca.org.uy Emparejamiento 4.-AppID+Temp pairing Token 5.- OK+Unique Latch 1.- Generate pairing code www.isaca.org.uy 2.- Temporary Pariring token 6.-ID Latch appers in app 3.- User introduces Temp Pairing token Autenticación 3.- asks about Latch1 status 2.- Web checks Credentials with Its users DB 4.- Latch 1 is OFF 6.- Someone try to get Access to Latch 1 id. www.isaca.org.uy 1.- Client sends Login/password 5.- Login Error Demo www.isaca.org.uy Preguntas? Muchas Gracias Juan Dávila [email protected] www.isaca.org.uy