Plataformas móviles de alcance global Retos yy riesgos g emergentes g Jeimy J. Cano, Ph.D, CFE Chief Information Security Officer Chief Information Security Officer Ecopetrol S.A COLOMBIA Nota de advertencia • La presentación que se desarrolla a continuación es producto del análisis de fuentes y mejores j prácticas en las p p plataformas móviles líderes, y su aplicación en diferentes contextos tecnológicos. • Las ideas expresadas o detalladas en este documento corresponden y comprometen exclusivamente a su autor y NO representan la posición oficial de ECOPETROL S.A, ni de su grupo empresarial. • Las reflexiones y propuestas que se presentan en este documento son el resultado de un ejercicio académico para continuar aprendiendo de los retos emergentes propios de las plataformas móviles. JCM-10/11 All rights reserved 2 Objetivos de la sesión • Explorar las nuevas tendencias en las plataformas móviles y su uso estratégico en el contexto de negocio. negocio • Analizar los riesgos emergentes en las plataformas móviles y sus impactos en los usuarios • Proponer un análisis comprensivo de las características de seguridad de las plataformas móviles líderes en el mercado • Detallar ll un contexto básico bá i de d la l inseguridad i id d de d la l información i f ió para las plataformas móviles • Resumir y revisar recomendaciones de seguridad de la información para asegurar las plataformas móviles JCM-10/11 All rights reserved 3 Agenda • • • • • • • • • • • Introducción Estadísticas de las plataformas móviles en el mundo Más poder en las manos de los “usuarios” Perímetros “porosos” de seguridad Riesgos de seguridad propios de las plataformas móviles Análisis de la seguridad en las principales plataformas móviles Perspectiva integrada de la inseguridad en las plataformas Perspectiva integrada de la inseguridad en las plataformas móviles Retos emergentes en las plataformas móviles g p Algunas recomendaciones básicas de aseguramiento Reflexiones finales Referencias JCM-10/11 All rights reserved 4 Introducción • Las comunicaciones móviles desde los años 90’s han venido en un desarrollo exponencial. • Cada vez más la computación y sus servicios se llevan hacia las manos de los “usuarios”. • El “usuario” usuario se hace cada vez más hábil con la tecnología: demanda mayores servicios e información 7x24x365. • La mayor exposición de los “usuarios” al ambiente de internet móvil y al intercambio de información permanente es un escenario ideal para “engañar, persuadir, manipular y abusar”. • El poco entendimiento del funcionamiento de las plataformas móviles es una motivación para desarrollar ataques silenciosos, planeados y efectivos. JCM-10/11 All rights reserved 5 Evolución de las plataformas computacionales en el mundo 1960 Centros de Cómputo Menor movilidad Menor intercambio Menor intercambio 1970 1980 1990 “En las manos del usuario” Mayor movilidad Mayor intercambio Mayor intercambio ¿Inseguridad? Adaptado de: The Mobile Internet Report. Disponible en: http://www.morganstanley.com/institutional/techresearch/pdfs/2SETUP_12142009_RI.pdf JCM-10/11 All rights reserved 2000 6 Estadísticas de las plataformas móviles en el mundo Tomado de: The Mobile Internet Report. Disponible en: http://www.morganstanley.com/institutional/techresearch/pdfs/2SETUP_12142009_RI.pdf JCM-10/11 All rights reserved 7 Estadísticas de las plataformas móviles en el mundo En “las manos” y en “las nubes” Tomado de: The Mobile Internet Report. Disponible en: http://www.morganstanley.com/institutional/techresearch/pdfs/2SETUP_12142009_RI.pdf JCM-10/11 All rights reserved 8 Más “poder” en las manos de los “usuarios” • Evolucionamos hacia: – Dispositivos móviles inteligentes: Mayor información y Dispositivos móviles inteligentes conectividad. – Relevancia del video: Internet como experiencia permanente de Relevancia del video: Relevancia del video video Internet como experiencia permanente de tiempo real. – Servicios en la nube Servicios en la nube: Cualquier dispositivo móvil tiene acceso a la i f información. ió – Tecnologías sociales Tecnologías sociales: Las personas pueden influir y tener poder con sus pares: clientes o empleados. Tomado de: BERNOFF, J. y SCHADLER, T. (2010) Empowered. Unleash your employees, energize your customers, transform your business. Harvard Business Review Press. Pág.12 JCM-10/11 All rights reserved 9 Perímetros “porosos” de seguridad Riesgos Entorno CUMPLIMIENTO Computación en la nube Ambientes virtuales Perímetro Extendido ESTRATEGIA INFRAESTRUCTURAS APRENDIZAJE PERSONAS DATOS Cooperación Visión holística INVESTIGACIONES JCM-10/11 All rights reserved 10 Riesgos de seguridad de las plataformas móviles Tecnología Procesos Personas • Exceso de confianza en los dispositivos móviles. • Contraseñas débiles, intuitivas o default. • Apertura sin restricciones a compartir información. • Robo físico del dispositivo • Uso de aplicaciones p “no confiables” a través de internet móvil. • Uso de los dispositivos p sin aseguramiento básico. • Transporte de información sensible sin protección • Pérdida de información sensible ibl • Uso de servicios sin autenticación • Flujo de información corporativa sin clasificar JCM-10/11 All rights reserved • Fallas propias de los sistemas operativos de las plataformas móviles. • Vulnerabilidades de las aplicaciones móviles • Código malicioso novedoso y agresivo • Fallas en los mecanismos de seguridad • Fallas de los navegadores 11 Mercado actual de las plataformas móviles 2009 2010 Datos tomados de: http://www.gartner.com/it/page.jsp?id=1421013 JCM-10/11 All rights reserved 12 Estado actual de las plataformas móviles Gráfica tomada de: http://upload.wikimedia.org/wikipedia/en/f/f7/Mobile_os.png JCM-10/11 All rights reserved 13 Análisis de seguridad de las plataformas móviles ‐ Android ‐ Tomado de: http://elinux.org/Android_Architecture JCM-10/11 All rights reserved 14 Análisis de seguridad de las plataformas móviles ‐ Symbian ‐ Tomado de: http://wiki.nectec.or.th/setec/Knowledge/Symbian_OS JCM-10/11 All rights reserved 15 Análisis de seguridad de las plataformas móviles ‐ IPhone vs MacOS‐ MacOS iOS http://developer.apple.com/macosx/architecture/index.html Tomado de: http://developer.apple.com/library/ios/#documentation/Miscellaneous/Conceptual/iPhoneOSTechOverview/IPhoneOSOverview/IPhoneOSOverview.html#//apple_ref/doc/uid/TP4000789 8‐CH4‐SW1 JCM-10/11 All rights reserved 16 Análisis de seguridad de las plataformas móviles ‐ Windows Mobile Vs. Windows OS‐ Windows Mobile Windows Architecture WINDOWS Internals. 4th Edition. Pág.52 Tomado de: FORENSIC INVESTIGATION PROCESS MODEL FOR WINDOWS MOBILE DEVICES. Disponible en: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.115.9435&rep=rep1&type=pdf JCM-10/11 All rights reserved 17 Análisis de seguridad de las plataformas móviles ‐ Blackberry ‐ JCM-10/11 All rights reserved 18 Tomado de: http://www.cse‐cst.gc.ca/its‐sti/services/cc/blackberry‐v410‐sec‐eng.html Análisis de seguridad de las plataformas móviles Android iPhone WINDOWS Mobile Blackberry Personal Identification Number YES YES YES YES Remote WIPE NO YES YES YES Remote POLICY NO YES (Exchange) YES (Exchange) YES (BES) Not yet Not yet Third party Third Party Local mail encryption l l NO NO NO YES File encryption NO Keychain YES YES Application sandbox YES NO NO YES Application signing YES YES YES YES Permission model Fine grained, kernel and IPC enforced Sandbox, multiple users Two tiers Fine grained, JME class based Propolice, safe Propolice, safe_iop, iop, OpenBSD malloc and calloc Non executable heap+stack /GS stack protection N/A (Java/JME based OS) HIGH MEDIUM HIGH MEDIUM Webkit Webkit Trident Webkit LoJack OS buffer overflow protection Forensic Analysis viability Web agent Adaptado de: DWIVEDI, H., CLARK, C. y THIEL, D. (2010) Mobile application security. McGraw Hill. Pág. 360 JCM-10/11 All rights reserved 19 Perspectiva integrada de la inseguridad en las plataformas móviles Inevitabilidad de la falla Control de Acceso Comportamiento d l del usuario i Personas Procesos Tecnología Madurez de los procesos de los procesos corporativos Clasificación de la información JCM-10/11 All rights reserved Políticas Corporativas Dispositivos Móviles 20 Retos emergentes en las plataformas móviles Forensics Cloud computing Mobile CIM Cybercrime In Motion Geolocalization JCM-10/11 All rights reserved 21 Expectativas de desarrollo de aplicaciones en plataformas móviles p Tomado de: WANG, C. (2011) Building secure iphone and Ipads apps JCM-10/11 All rights reserved 22 Algunas recomendaciones de aseguramiento 1 2 3 * Procure desarrollar autenticación multifactor. multifactor * Mantenga el principio del menor privilegio * Almacene su información de manera confiable. * Valide todas las entradas de sus aplicaciones * Siga las buenas prácticas de programación segura * Firme los códigos de sus aplicaciones * Acoja las políticas empresariales de aseguramiento de móviles * Mantenga actualizado el SO del dispositivo móvil * Comprenda las características del navegador disponible JCM-10/11 All rights reserved 23 Reflexiones finales 2010 2011 Alto Alto Blackberry Blackberry iPhone iPhone Windows Mobile Impacto Impacto Windows Mobile Android WebOS Symbian Android S bi Symbian WebOS Bajo Bajo B j Baja Alt Alta B j Baja Alt Alta Probabilidad Probabilidad ¿Cuál sería la valoración de una falla de seguridad de la información en una de g éstas plataformas móviles? JCM-10/11 All rights reserved 24 Referencias • • • • • • • • • • • • STANLEY MORGAN (2009) The mobile Internet Report. Disponible en: h // http://www.morganstanley.com/institutional/techresearch/pdfs/2SETUP_12142009_RI.pdf l /i i i l/ h h/ df /2S U 12142009 I df WANG, C. (2011) Building secure iphone and Ipads apps. Forrester Research. STANLEY MORGAN (2010) Internet Trends. Abril. Disponible en: http://www.morganstanley.com/institutional/techresearch/pdfs/Internet_Trends_041210.pdf CIO EXECUTIVE BOARD (2010) Emerging E i technology t h l roadmap. d O t b https://cio.executiveboard.com/ Octubre. htt // i ti b d / ARIZA, A. y RUIZ, J. (2009) iPhorensics: un protocolo de análisis forense para dispositivos móviles inteligentes. Tesis de Grado. Ingeniero de sistemas. Pontificia Universidad Javeriana. Disponible en: http://www.criptored.upm.es/guiateoria/gt_m142l1.htm DWIVEDI H., DWIVEDI, H CLARK, CLARK C. C y THIEL, THIEL D. D (2010) Mobile application security. security McGraw Hill. Hill BERNOFF, J. y SCHADLER, T. (2010) Empowered. Unleash your employees, energize your customers, transform your business. Harvard Business Review Press. KASPERSKY, K. (2005) Shellcoder’s programming unconvered. A‐LIST, LLC. ASHFORD, W. (2010) Global survey demonstrates importance of mobile security. Computer Weekly Magazine. Disponible en: http://www.computerweekly.com/Articles/2010/10/27/243570/Global‐survey‐demonstrates‐ importance‐of‐mobile‐security‐says‐Juniper.htm JACKSON, K. (2010) Accepting the inevitability of Attack. DarkReading. September. Disponible en: http://www.darkreading.com/insiderthreat/security/vulnerabilities/showArticle.jhtml?articleID=227400257& queryText=mobile+vulnerabilities T bil l bili i European Network and Information Security Agency (ENISA) (2008) Security Issues in the Context of Authentication Using Mobile Devices (Mobile eID). November. Disponible en: http://www.enisa.europa.eu/act/it/eid/mobile‐eid JANSEN W. JANSEN, W y SCARFONE, SCARFONE K. K (2008) Guidelines on Cellphone and PDA Security. Security NIST. NIST Special publication 800‐ 124. Disponible en: http://csrc.nist.gov/publications/nistpubs/800‐124/SP800‐124.pdf JCM-10/11 All rights reserved 25 JCM-10/11 All rights reserved 26 Plataformas móviles de alcance global Retos yy riesgos g emergentes g Jeimy J. Cano, Ph.D, CFE Chief Information Security Officer Chief Information Security Officer Ecopetrol S.A COLOMBIA