OWASP Mobile Security Project

  • 1

OWASP Mobile Security Project

Selección_004Ahora que se acercan las vacaciones, empezamos o a pensar en la cantidad de nuevas vulnerabilidades encontradas para los distintos sistemas operativos de los móviles de los últimos meses, pues son fechas en las que tendemos a utilizar estos, en especial los que tienen acceso a redes 3G/4G y por supuesto incorporan tecnología wireless, vamos, lo que se dice un  smartphone.

Así que la gran pregunta es si se puede usar el móvil con seguridad y privacidad cuando estamos fuera de casa, a sabiendas de los riesgos que supuestamente corremos al conectarnos a redes desconocidas y/o no confiables. Tanto es así que hasta se ha creado una agencia europea. ENISA es la agencia europea por la información y la seguridad en la red y en su web podemos encontrar su propio top 10 de estos riesgos. Si profundizamos en esta web podemos ver que hay una descripción de los posibles ataques y sus posibles ejecuciones, pero siendo un poco crítico con Enisa tengo que decir que tienen que actualizar la información, si bien, Enisa sigue de cerca y tiene colaboración con OWASP, he observado que la información que está exponiende corresponde mayormente al año 2010 y que dicha información tiene en mi humilde opinión una catalogación menos precisa de estos riesgos. De hecho los riegos 1,2 y 3 que Enisa clasifica vienen englobados en la categoría M2 de OWASP.

Top Ten Smartphone Risks. EU Enisa

OWASP es sin duda la fundación que en este momento ofrece una auténtica metodología de trabajo en torno a la seguridad bajo una perspectiva libre y eficiente, así que ¿Por qué no vamos a hacerles más caso y ver que nos ofrecen al respecto?. En estos momentos el este proyecto tiene poco más de unos años de desarrollo pero es prometedor 
OWASP Mobile Project 2012 Goals

Selección_005

En el siguiente vídeo se nos muestra el Top 10 de vulnerabilidades encontradas en los últimos 3 años, esto es, desde el 2011, para dispositivos móviles. Cuales son los nuevos y últimos ataques y sus tipos. Que está cambiando respecto a estos 3 últimos años en cuanto al tipo de ataques y sus riesgos, además nos da una perspectiva general de como está en este momento la seguridad en el entorno del mundo del smartphone, a esta presentación le han puesto de título OWASP Top 10 Mobile Risks: 2014 Reboot, creo con la doble intención de hacer entender que el proceso de auditoría de seguridad en continuo y como un toque de atención a desarrolladores y empresas para que pongan más esfuerzos en desarrollar tecnología confiable y segura.

 


A la izquierda las viejas amenazas y su antigua clasificación (en gris), a la derecha la nueva clasificación de las amenazas.

Selección_007Selección_008

Traduciendo todo esto:

M1 Weak Server Side Controls: Ataques del lado del servidor. Los atacantes buscan vulnerabilidades en los servidores y una vez explotadas estas vulnerabilidades inyectan código maliciosos que luego intentarán apoderarse de nuestro terminal o ejecutar más código malicioso en el.
M2 Insecure Data Storage: Almacenamiento inseguro de datos. Se refiere mayormente a la perdida o robo de dispositivos móviles y el almacenamiento inseguro de los datos que este contiene.
M3 Insufficient Transport Layer Protection: Insuficiencia en la capa de transporte. Como se protege el transporte de los datos respecto a terceros que podrían estar ecuchando.
M4 Unintended Data Leakage: Se refiere a la perdida de datos por desentendimiento entre las aplicaciones y por ejemplo, el sistema operativo, hardware nuevo, nuevas configuraciones.
M5 Poor Authorization and Authentication: Pobre autorización y autenticación. Ya sean tokens u otros modos de autorización, una aplicación que se precie tiene siempre que evitar estos errores graves de seguridad.
M6 Broken Cryptography:  Criptografía rota. Mala praxis a la hora de utilizar criptografía obsoleta o rota.
M7 Client Side Injection: Inyecciones del lado del cliente. Siempre que un usuario este expuesto, puede existir la posibilidad de verse atacado por algún exploit o sniffing directamente contra su terminal. Inyección de código malicioso del lado del cliente.
M8 Security Decisions Via Untrusted Inputs: Decisiones de seguridad a través de entrada no confiables. Se supone que una aplicación móvil debería solo interactuar con otras aplicaciones confiables, dado que el si la aplicación utiliza software no confiable este podría contener código que aún no siendo malicioso podría ser aprovechado para realizar un ataque contra un terminal.
M9 Improper Session Handling: Impropio mantenimiento de la sesión. Mantener la vigilancia de las sesiones es tan importancia como su establecimiento en condiciones de seguridad. Si no se crean mecanismos para controlar una sesión ya sea mediante tokens u otros sistemas, es posible que alguien pudiera aprovechar el momento propicio para suplantar la misma.
M10 Lack of Binary Protections: Falta de protección en binarios. Es un tema controvertido puesto que existe mucho software bajo licencia GNU. Pero se hace referencia a que cualquier desalmado podría apoderarse de los posibles beneficios que podría generar una aplicación en el mercado si no se protegen adecuadamente los binarios. Mediante por ejemplo ingeniería reversa.


Conclusiones: Día a día nos encontramos con noticias de spyware, malware, y todo tipo de software malicioso orientado a los móviles, hay q tener clara dos cosas. Una, el smartphone almacena información personal y dos, es un ordenador con conectividad, por lo tanto es subceptible sufrir ataques por ejemplo contra la privacidad, tales como que nos “espien el whatsapp”. Sería de sentido común popularizar la idea de que la privacidad es una obligación más que un ocultamiento y de que un teléfono no es tan personal como muchos se creen.

Más info y presentaciones
Top Ten Mobile Risks
OWASP Mobile Security Project


  • 0

Sobre la ética hacker, la auditoría de seguridad o el mal llamado “Hacking ético”

sombreros_hackerLarga es la discusión para definir el término hacker.., En España por ejemplo todavía existe la idea del pirata informático, cracker o maligno creador de virus como tal. No obstante sabemos que España es uno de esos paraísos donde la mal llamada piratería siempre ha campado a sus anchas. Las cintas de cassette de los 80, los cds de los 90 y las leyes contra la “piratería” inventadas en los últimos tiempos, son claro ejemplo de que a España siempre le ha gustado hackear los sistemas  o que no le ha quedado otra a sus ciudadanos para llegar a la información.

En algunos casos se han escuchado auténticas barbaridades como que todos los hackers son delincuentes, por no hablar del agravio comparativo de lo que supone un delito de lesiones, sangre, violación, secuestro, etc con los que a veces se compara las tropelías ejercidas, eso sí, por ciberdelincuentes, cuyo mayor delito, en muchos casos, no es más que apropiarse de una información que en teoría no les pertenece. Un militar está entrenado para matar, sin embargo no llamamos asesinos a los militares, está lógica no se aplica mayormente a los hackers.

Esta asociación entre conocimiento y aplicación del mismo ha hecho que el termino hacker este asociado especialmente en nuestro país con la delincuencia electrónica y aún más ahondando en la interpretación psicológica que nos dice que lo desconocido siempre a causado respeto y temor haciendo que los hackers sean definidos, o bien entre los héroes o bien entre los villanos.

La verdad es que la percepción sobre los hackers está gravemente influenciada por las películas de Hollywood, donde el hacker es un malvado ciberdelincuente que se cuela en el ordenador de la CIA y anula los sistemas satelitales y de defensa o bien, es un joven superdotado que salva al mundo de un peligro electrónico o de anterior.

La ética y el hacking. De todos es conocido que muchas de las cosas que hacen los hackers rozan con la ética. Así pues, en su mayoría son conocimientos adquiridos que aplicados de una forma no esperada, pueden hacer que un sistema se comporte de una forma de la que se puede sacar alguna aplicación a un fallo como la fuga de información. Así pues, podemos hacer hacking de todo tipo, desde hackear una máquina de refrescos, abrir un candado sin una llave, o modificar una página web, esto también son consideradas formas de hacking.

Como se habrá podido sobreentender del párrafo anterior, todas estas acciones sobre sistemas pueden chocar con la ética de las personas, sobre todo , si eres el dueño de la máquina, del candado de la bici o el administrador de la web en cuestión. Es aquí donde entre la ética del hacker.

Como es nuestra especialidad nos centraremos en este caso de la página web, imaginemos, por ejemplo, que el hacker es en realidad, un simple estudiante probando técnicas de hacking de una vulnerabilidad web. Su intención probablemente será comprobar que la página es vulnerable a una inyección SQL y trataría de extraer información. Sus intenciones no son tan malas, si no hace mal uso de la información que pudiese extraer, por ejemplo si después de extraer los datos, simplemente se siente contento y los borra, esto podría considerarse un comportamiento ético dentro de lo razonable y siempre y cuando no tenga otra motivación que el propio logro.

En otro escenario un hacker que está en contra por ejemplo de los gustos musicales de los usuarios de un foro web sobre música y decide borrar todos los comentarios. En este caso, tenemos que efectivamente su intención es de hacer daño y destruir información. Claramente sus intenciones chocan con la ética.

En ambos casos muchos se supondrán el problema ético del acceso no deseado a la página web, pero realmente es un dilema estúpido que no beneficia en absoluto a la seguridad de los propios sistemas. Lo importante realmente es que alguien a podido saltarse los mecanismos de seguiridad y que podría volver a pasar y las consecuencias que pueden ocurrir a raiz de ello.

No obstante cuando Anonymous atacó la página de Lolita city, conocida web pedofila de la darknet, fue considerada una acción ética, y en absoluto se puso en entredicho la legitimidad de los métodos empleados, sino la finalidad de los mismos. Esto choca frontalmente con la idea de el “hacking ético” que se define como una auditoría de hacking consentida por la parte interesada en llevar a cabo dicha auditoría, pues en este caso se realizo una auditoría sin consentimiento.

Muchos gobiernos han puesto auténticas leyes represivas sobre los accesos a sistemas, que además suponen además un grave peligro para su propia seguridad. Una nación sin jóvenes con educación en la penetración de sistemas y en el conocimiento de estas técnicas puesto que sufren el temor de ser arrestados o perseguidos por la justicia y además penados gravemente si lo hacen, no tendrá defensa ante los ciberdelincuentes, que sí se han enfrentado a diferentes sistemas y escenarios donde conocerán las vulnerabilidades de los mismos. La ciberseguridad se esta convirtiendo en uno de los pilares de las telecomunicaciones. Tanto es así que nos resulta chocante que a medida que ha aumentado la persecución a simples aprendices de hackers que escanean redes y puertos, también ha ido aumentando el número de noticias que indican el constante espionaje al que estamos siendo sometidos por los propios gobiernos e sus instituciones como son los continuos escándalos de EEUU a través de la NSA, curioso es, que en EEUU esté considerado delito el escaneo de puertos.

La la auditoría de seguridad informática, o mal llamado “hacking ético” es estrictamente aquel en que la parte interesada en realizar la auditoría, da su consentimiento al auditor, para que ponga a prueba sus sistemas y de esa forma buscar los puntos débiles de los mismo para intentar mejorar la seguridad de estos. Insisto mal llamado hacking ético porque la seguridad no tiene nada que ver con la ética, la seguridad informática no difiere en absoluto con cualquier otro tipo de medidas de seguridad, ya sea poner una cerradura o una alarma.

El dilema ético de si te puedo abrir el candado o no, es estúpido, porque yo quizás pueda abrírtelo, pero vendrá otro que además de abrirlo, se llevará la bicicleta. Muchas veces se mata al mensajero y no el mensaje.

Pablo Martínez, TeamSec