You are on page 1of 20

Tendencias de la Tecnologa en Seguridad

Informtica 2009

Seguridad en
Smartphones
Hernn Costante
hcostante@cybsec.com

16 de Septiembre de 2009
Buenos Aires - Argentina
Seguridad en Smartphones
Qu es?

Es un dispositivo mvil de mano, que


aprovecha la convergencia y la integracin de
las comunicaciones unificadas actuales

Integracin de medios de
comunicacin actuales:

Mail y WWW
Voz
Voz sobre IP
Video
Mensajera instantnea
Datos

2
Seguridad en Smartphones
Qu es?

Caractersticas que posee:

Mayor poder de procesamiento

de comunicacin inalmbrica

de almacenamiento de datos

Menor tamao

3
Seguridad en Smartphones
Qu es?

La evolucin del software acompaa a la del


hardware, y ya es posible encontrar todo
tipo de aplicaciones para estos dispositivos.

Software disponible:
Documentos MS Office
Documentos PDF
Correo Electrnico
Agenda
Calendario
GPS
SAP & JD EDWARDS
Web Browser
Rep. Msica
y un largo etc. (hacking
included)
4
Seguridad en Smartphones
Evolucin

Principios de los 90: Mediados de los 90:


Celular + PDA
Touchscreen SO: DOS!!!
Calendario Email
Web browser
Lib. de direcciones App. para redaccin
Notepad & Email Tecl. QWERTY

1990 2000 2010

Principios del 00: Mediados del 00:

Menor tamao PC de mano

Pantallas color Mas seguridad

Mas aplicaciones GPS, WiFi y 3G

Soluciones Corp. Video streaming

Mas conectividad Aplicaciones ERP

5
Seguridad en Smartphones
Soluciones corporativas

En la actualidad existen dos soluciones


corporativas de smartphones

MS Exchange
ActiveSync
BlackBerry +
Enterprise Server MS System Center
Mobile Device Manager

6
Seguridad en Smartphones
Soluciones corporativas

Las soluciones corporativas no son simples aplicaciones,


sino son soluciones que disponen de una amplia cantidad
de recursos que permiten (entre otros):

Gestin de la autenticacin a los dispositivos y servicios

Aplicacin de polticas de contraseas

Administracin de usuarios y dispositivos

Cifrado de las comunicaciones y los dispositivos

Restricciones de funcionalidades y aplicaciones

Auditora de la consola central y de los dispositivos

Administracin centralizada

Aplicacin de polticas de forma remota

7
Seguridad en Smartphones
Soluciones corporativas

En las compaas se aument considerablemente el


uso de los smartphones

Primero los Directores

Luego los Gerentes

Ahora tambin IT !!!

8
Inseguridad

9
Seguridad en Smartphones
Inseguridad

Segn una encuesta reciente a usuarios de smartphones:


El 44% de los encuestados tiene la sensacin de que navegar por
Internet desde sus smartphones (que pueden no estar equipados con
software de seguridad) es tan seguro, si no ms, como navegar
desde su PC

Slo el 23% de los usuarios de smartphones utiliza software de


seguridad ya integrado

El 20% considera que instalar un programa de software de


seguridad en sus telfonos no resulta muy efectivo

Casi la mitad de los encuestados han sido infectados por malware

El 20% de los mismos se han encontrado con algn fraude de


phishing

El 50% reconocen haber abierto los archivos adjuntos en el email


durante el ltimo mes, mientras que casi el 40% ha hecho clic en el
link de la URL recibida en el email desde su telfono
*Trend Micro: http://es.trendmicro.com/es/about/news/pr/article/20090824105137.html
10
Seguridad en Smartphones
Inseguridad

Riesgos comunes

Robo, hurto o prdida del dispositivo


Robo o suplantacin de identidad
Propagacin de virus por Mensajera Instantnea
Phishing a travs del correo electrnico
Mltiples nuevas formas de Ingeniera Social
Interceptacin de trfico de datos
Escuchas telefnicas
Robo/Uso no autorizado de servicios de proveedores
Ataques al dispositivo a travs de la red IP de WiFi o 3G

11
Seguridad en Smartphones
Inseguridad

Ataques especficos
Comunicaciones:
GSM: interceptacin de trfico de voz

SMS-MMS: Interceptacin de trfico de datos,


spam, phishing, vulnerabilidades

Bluethooth: BlueBug, BluePrinting, BlueSmack,


BlueSnarf, BlueBump, Blue*, etc.

Wi-Fi: Cracking WEP, Cracking WPA, AP & Client


DoS, Evil Twin, etc.

3G: dirigidos a la direccin IP del dispositivo,


interceptacin de trafico, etc.
12
Seguridad en Smartphones
Inseguridad

Ataques especficos

Software:
Software Malicioso: worms, rootkits,
keyloggers, virus, troyanos, etc.

Vulnerabilidades: en las aplicaciones


utilizadas

Errores de configuracin: en la seguridad de


las aplicaciones utilizadas

13
Seguridad en Smartphones
Inseguridad

Ataques especficos

Usuario:
Phishing: va SMS o Mail, con acceso directo
a Internet desde el dispositivo

Spam: como transporte de virus, worms,


exploits especficos, etc.

Ingeniera social: mediante SMS, Mail, voz o


Web.

14
Seguridad

15
Seguridad en Smartphones
Seguridad

En general
A los smartphones, como parte de una solucin
corporativa, se le deben aplicar las mismas
consideraciones que a las laptops.

La seguridad en un smartphone es igualmente


crtica.

Las soluciones corporativas disponen de la


posibilidad de incorporar un gateway o router en
la DMZ y permitir la implementacin del servidor
principal de la solucin en la red de servidores.

16
Seguridad en Smartphones
Seguridad

Mitigando los ataques especficos


Comunicaciones
GSM, SMS-MMS y 3G: cifrado adicional de las
comunicaciones de voz tradicional y datos

Bluethooth: deshabilitarlo, y ser precavidos cuando


se apareen con otros dispositivos o accesorios
(hacerlo en un lugar seguro)

Wi-Fi: utilizar preferentemente WPA2 Enterprise


(con autenticacin), usar claves seguras y
cambiarlas peridicamente. Evitar los AP pblicos o
utilizar SSL en cualquier comunicacin a travs de
estos
17
Seguridad en Smartphones
Seguridad

Mitigando los ataques especficos


Software
Software Malicioso: utilizar software antivirus y
firewall. Aplicar restricciones sobre la instalacin
de software adicional en los dispositivos

Vulnerabilidades: mantener actualizadas las


aplicaciones, estar atentos a las nuevas
vulnerabilidades, los parches y los workarounds

Errores de Configuracin: confeccionar estndares


de seguridad para la configuracin de los servicios
y los dispositivos. Verificarlos peridicamente.

18
Seguridad en Smartphones
Seguridad

Mitigando los ataques especficos


Usuario

Phishing e Ingeniera Social: Educacin,


concientizacin o capacitacin de los usuarios
que utilizan los dispositivos.

Spam: software antivirus y antispam para el


anlisis de los correos entrantes que son
derivados al dispositivo. Mas educacin, mas
concientizacin y mas capacitacin :-)

19
Preguntas

Muchas Gracias!!!
Hernn Costante
hcostante@cybsec.com