Seguridad en la utilización de portátiles, smartphones y ...
Transcript of Seguridad en la utilización de portátiles, smartphones y ...
09/06/2011
1
Seguridad en la utilización de portátiles,
smartphones y dispositivos móviles
Juan Carlos Rodríguez
Las claves de la seguridad
Pág. 2
Información
Confidencialidad Integridad
Disponibilidad
Asegurar que la información sea únicamente accesible para los
usuarios autorizados.
Asegurar la exactitud y veracidad de la información
Asegurar que la información esté siempre accesibe.
09/06/2011
2
Dispositivos móviles
En la actualidad utilizamos a diario una gran variedad de
dispositivos móviles capaces de almacenar y gestionar información.
Su portabilidad, y reducido tamaño permiten su transporte con facilidad, y
por ello son más vulnerables a ser olvidados, perdido o robados.
¿Cómo protegernos de su robo?
Pág. 4
1. Siendo precavidos:
• No llevando el móvil en el bolsillo de la chaqueta o carteras y bolsos
• No dejar el móvil encima de la mesa en cafeterías o restaurantes
• No dar “pistas” de que llevamos un portátil, tablet o similar con fundas
muy llamativas o de diseño muy exclusivo y específico
• Especial atención en los controles de seguridad en aeropuertos.
09/06/2011
3
¿Cómo protegernos de su robo?
Pág. 5
• Podemos utilizar medidas disuasorias.
¿Podemos localizarlo?
Pág. 6
• Existen sistemas de Geolocalización.
09/06/2011
4
Cuando trabajamos con portátiles y smartphones
Pág. 7
• ¿Estamos seguros que no nos observan?.
¿Y cuando nos conectamos a redes WIFI?
El pago por este servicio suele ser elevado,
por ello encontrar un Punto de Acceso abierto
sin contraseña !ES TENTADOR!, pero
¿Cómo podemos estar seguros de la “honradez” de esta conexión?
¿Cómo sabemos que esta conexión no es un “cebo” para capturar el tráfico que enviamos?
09/06/2011
5
¿Sabemos qué uso hacen de los smartphone los usuarios?
JailBreak para IPhone
“Root” para Android
JailBreak en Iphone
Permite “desbloquear” el equipo y tener acceso completo al dispositivo.
Permite instalar aplicaciones desde lugares “no legales”
En algunas instalaciones se configura un servicio para acceso remoto
mediante SSH con un usuario y contraseña por defecto conocida y
publicada en Internet.
¿Y si estamos conectados por 3G?
Pág. 10
09/06/2011
6
¿Que aplicaciones utilizan y de donde las descargan?
Listado de algunas aplicaciones con malware para
Android
Advanced Currency Converter
App Uninstaller
Chess
Dice Roller
Falling Ball Dodge
Falling Down
Funny Paint
Hilton Sex Sound
Hot Sexy Videos
Photo Editor
Scientific Calculator
Screaming Sexy Japanese Girls
Spider Man
Super Guitar Solo
Super History Eraser
Super Ringtone Maker
Super Sex Positions
Pág. 12
Advanced App to SD
Advanced Barcode Scanner
Advanced Compass Leveler
Advanced File Manager
Best password safe
Bowling Time
Magic Strobe Light
Music Box
Sexy Girls: Japanese
Sexy Legs
Super Stopwatch & Timer
Supre Bluetooth Transfer
Task Killer Pro
Advanced Sound Manager
Basketball Shot Now
Bubble Shoot
Color Blindness Test
Finger Race
Funny Face
Magic Hypnotic Spiral
Omok Five in a Row
Piano
Quick Delete Contacts
Quick Notes
Super Sexy Ringtones
Tie a Tie
07/03/2011 PCWORLD PROFESIONAL
•Lee las críticas y las reseñas antes de descargar un programa
•Consulta siempre los permisos de la aplicación
•Evita instalar archivos Android Package (APK).
•Instala un escáner antivirus y/o antimalware
09/06/2011
7
¿Podemos controlar de manera centralizada estos equipos?
¿Podemos controlar de manera centralizada estos equipos
y sus configuraciones?
BlackBerry Enterprise Server
09/06/2011
8
Actualización del software en SmartPhones
Al igual que con el resto de equipos, debemos mantener actualizado los
terminales asegurándonos que el software provenga del fabricante
Pág. 15
BlackBerry Protect
Permite configurar opciones de seguridad y recuperación para
dispositivos que no están dentro del servicio BES
Pág. 16
09/06/2011
9
Búsqueda dispositivos Apple
Pág. 17
Windows Mobile, Symbian, Android
Pág. 18
09/06/2011
10
Aviso de perdida o alejamiento del smartphone
ZOMM, avisa si el smartphone se aleja del dispositivo más alla de los
10 mts.
basado en la conectividad Bluetooth, escompatible con cualquier
terminal móvil de última generación
Pág. 19
¿Qué es lo más valioso que pueden robarnos?
La información contenida en nuestros equipos
Documentos laborales y privados.
Fotografías y Videos personales.
Mensajes de correo privados.
Información sobre cuentas bancarias
Reservas de viajes.
…
¿Cómo protegemos el acceso a toda esta información personal
y laboral?
09/06/2011
11
PDA’s y Teléfonos móviles
La utilización de las PDA y móviles de última generación brinda la
oportunidad de acercar la ofimática y las comunicaciones a la palma de la
mano.
En estos dispositivos frecuentemente se almacena información
confidencial, contactos de clientes, proveedores, contraseñas, …
¿Cómo se protege todo este contenido?
¿Cómo protegernos la información que contienen?
Pág. 22
• Si es posible, configurar el cifrado de la información,
tanto en el terminal como en la tarjeta externa.
09/06/2011
12
PDA’s y Teléfonos móviles
El primer acceso al dispositivo requiere introducir un PIN secreto, pero …
¿Y si olvidamos o perdemos el dispositivo ya conectado?
¿Tenemos bloqueado con contraseña el dispositivo tras un tiempo de
inactividad?
¿Resulta cómodo trabajar de esta manera?
Un reciente estudio confirma que la
mayoría de usuarios almacenan
información confidencial en sus teléfonos,
a pesar del hecho de que el 20 por ciento
de los entrevistados han asegurado que
han perdido o les han robado en alguna
ocasión sus smartphones.
¿Cómo protegernos el acceso al terminal?
Pág. 24
• En los smartphones es conveniente bloquear el acceso al terminal tras
inactividad.
• La utilización de códigos de protección para móviles llega al 68 por ciento
en España.
09/06/2011
13
Conexiones bluetooth
Permiten la conexión inalámbrica y el intercambio de información
entre dispositivos compatibles.
Muy utilizado para conectar otros dispositivos (auriculares, manos
libres, GPS, …) a móviles y PDA’s.
Activado y en la mayoría de las configuraciones permite que el
dispositivo sea descubierto y pueda intentarse una conexión.
Ataques a conexiones Bluetooth
Ataques a los primeros terminales con implementaciones incorrectas de los fabricantes
• BlueSnarf: Extraer archivos del teléfono
• BlueBug: Acceso a lo comandos AT
• HeloMoto: Acceso a comandos AT
(solo en antiguos terminales Motorola)
Ataques a equipos actuales
• BlueLine: Engañar al usuario para que acepte la conexión
• BlueMacSpoofing: suplantar la MAC de un equipo de confianza.
• BTCrack: Crackear el PIN y la clave de enlace de la conexión
http://gospel.endorasoft.es/eventos/alcolea07/Alcolea07_SeguridadMobile.pdf
- Motorola V80
- Motorola V800
- Nokia 6310i
- Nokia 7650
- Nokia 8910i
- Ericsson T39
- Ericsson R520m
- Ericsson T68
- Siemens S55
- Siemens SX1
- Sony Ericsson T68i
- Sony Ericsson T610
- Sony Ericsson T630
- Sony Ericsson Z600
- Sony Ericsson Z1010
09/06/2011
14
¿Cómo mejorar la seguridad Bluetooth?
Pág. 27
• No activar bluetooth si no es necesario y no dejar el
dispositivo reconocible.
Recomendaciones seguridad Bluetooth
Desactivar Bluetooth mientras no se utiliza
• Si es necesario configurar el modo de “no descubrimiento”
No aceptar conexiones de equipos desconocidos
• Rechazar intentos de emparejamiento
No aceptar archivos de equipos desconocidos
• Aunque parezca que provienen de un hot spot comercial
Eliminar entrada de emparejamiento sin utilizar
• Suplantar la MAC_ADRR es trivial
• Se pueden robar claves de enlace por ingeniería social
http://www.securityfocus.com/print/infocus/1830
http://www.securityfocus.com/print/infocus/1836
09/06/2011
15
En resumen en tu Smartphone:
Introduce una clave de acceso o bloqueo de contraseña en el móvil
Elige y descarga una aplicación para cifrar los datos
Realiza copia de seguridad de tu dispositivo y restaura a los valores de
fábrica antes de enviar tu smartphone al centro de reparaciones
Utiliza una aplicación de limpieza automática, para borrar todas las
configuraciones y los datos si alguien introduce mal el código de acceso o
contraseña en varias ocasiones
Consigue una aplicación que te permita el borrado remoto de todas las
configuraciones y los datos.
Instala un dispositivo de rastreo basado en GPS y HSDPA para
encontrar tu móvil cuando lo pierdas o te lo roben
Descarga aplicaciones de fuentes de confianza y tiendas de aplicaciones
oficiales.
Mantén tu móvil al día, con el sistema operativo actualizado.
No hagas jailbreak, root o modifiques el sistema operativo con versiones
de fuentes no oficiales.
Instala un antivirus y firewall para detectar y detener cualquier tipo de
intrusión o infección.
Pág. 29
Recomendaciones para IPhone
En iPhone 4 podemos activar una clave de acceso. Pulsamos Ajustes>
General>Bloqueo con código>Activar código
El cifrado en iPhone 4 está disponible y se activa automáticamente cuando
establecemos un código de acceso.
El borrado automático de todos los datos almacenados en el dispositivo, se
puede activar poniendo la opción del menú Borrar datos en ON, lo que
eliminará toda la información después de diez intentos fallidos de introducir
la contraseña
Para el seguimiento y borrado remoto del dispositivo, podemos
registrarnos en el servicio MobileMe de Apple
Realizar una copia de seguridad mediante la sincronización con iTunes en
un PC o MAC, seleccionando además la opción de Transferir Compras
Para almacenar información vital, como contraseñas o detalles de tarjetas de
crédito, utilizauna aplicación que guarde esta información encriptada,
como Keeper Password & Data Vault
Pág. 30
09/06/2011
16
Recomendaciones para Android
Tres métodos para bloquear el terminal: PIN de 4 dígitos, contraseña, y el
patrón
actualmente Android no tiene ningún tipo de cifrado a nivel de hardware, es
conveniente utilizar una aplicación de cifrado de terceros, como Keeper
Password & Data Vault
Para el borrado remoto existen aplicaciones como WaveSecure de McAfee
Los dispositivos con Android están más expuestos a virus e intrusiones que
iOS de Apple o BlackBerry , al tratarse de una plataforma abierta, instala
algún Antivirus para esta plataforma.
En caso de avería, o si queremos ceder nuestro terminal a otro usuario y
dárselo “limpio”, debemos realizar una copia de seguridad previa al reseteo
del dispositivo a valores de fábrica; antes deberás haber accedido a tu
cuenta de Google, y sincronizado contactos, calendario y tareas
Pág. 31
Trabajando con Portátiles y Netbooks
Pág. 32
09/06/2011
17
Control acceso al equipo
En ordenadores portátiles, se confía en el proceso de autenticación
ofrecido por el S.O.
¿Es infranqueable
esta barrera?
• Si tenemos acceso físico al equipo, es posible acceder al sistema de
archivos sin conocer las credenciales de acceso.
En sistemas Windows:
•Es posible iniciar el equipo desde un diskette con DOS y a continuación
ejecutar utilidades como NTFSDOS para montar el sistema de archivos NTFS.
•Podemos arrancar el equipo con una distribución CD_LIVE_Linux/XP y
mediante utilidades existentes, cambiar la contraseña de la cuenta
administrador.
En sistemas Linux:
•Podemos arrancar el equipo con otra distribución CD_LIVE_Linux montar la
partición original y editar el fichero /etc/shadow para modificar la contraseña del
administrador
Control acceso a portátiles
09/06/2011
18
Hiren’s boot CD
Confidencialidad de la Información
¿Cómo podemos proteger entonces información confidencial?
Utilizando la criptografía para “cifrar” la información mediante
técnicas y algoritmos independientes de la autenticación del
sistema operativo.
09/06/2011
19
Confidencialidad de la Información
A partir de W2000 se incluye el sistema EFS (Encryption File System):
• Cifra el contenido de carpetas y ficheros de forma transparente para el usuario
• No solicita ninguna contraseña para el cifrado, se apoya en la cuenta de usuario utilizada para iniciar sesión.
Confidencialidad de la Información
Aviso de Seguridad al forzar el cambio de contraseña de un usuario
09/06/2011
20
Confidencialidad de la Información
Existen diversos programas que permiten aplicar técnicas de cifrado a carpetas y ficheros.
• AxCrypt (Cifrado simétrico)
• TrueCrypt (monta volúmenes cifrados)
• PGP/GPG (cifrado, firma y montaje de volúmenes cifrados)
Confidencialidad de la Información
El programa AxCrypt, se integra en el explorador de archivos.
09/06/2011
21
Confidencialidad de la Información
TrueCrypt
•Permite el cifrado de particiones y/o dispositivos externos
o la creación de volúmenes cifrados (host-file)
•La contraseña de acceso puede estar almacenada en un
dispositivo externo.
Confidencialidad de la Información
TrueCrypt, Ejemplo de acceso a un volumen cifrado
09/06/2011
22
Ocultar información, Esteganografía
Práctica utilizada para ocultar la información confidencial.
La técnica más habitual consiste en ocultar una información dentro de
otra. (por ej. Un fichero de texto dentro de una imagen).
Ocultar información, Streaming
En los sistemas Windows con particiones NTFS la técnica de streaming
permite ocultar un fichero dentro de otro.
09/06/2011
23
Borrado Irrecuperable de información
Cuando en nuestro equipo se almacenan documentos “confidenciales”
¿Estamos seguro que cuando los borramos o dejamos de
utilizarlos no son recuperables?
•Sistemas como Windows proveen de la “papelera de reciclaje”
para la recuperación de ficheros borrados accidentalmente
•En general, los programas de ofimática crean copias temporales
de los archivos con los que estamos trabajando.
•Los S.O. trabajan con “memoria virtual” volcando temporalmente
contenido del disco a RAM y viceversa.
•Existen utilidades capaces de recuperar información directamente
de los sectores del disco.
Borrado de información confidencial
Es necesario sobreescribir múltiples veces con datos aleatorios el
contenido de los ficheros que deseamos eliminar.
09/06/2011
24
Proteger la utilización de contraseñas
Si utilizamos nuestro equipo en un lugar que no es de absoluta confianza, (un
hotel, un cybercafe, …) debemos evitar la utilización de aplicaciones que
requieran la identificación mediante la usuario y password sin tomar
precauciones especiales para evitar su captura.
Es recomendable la utilización de programas que almacenan estos pares de
valores, de manera que no sea necesario teclearlos y así no ser capturados
por keyloggers o videocámaras.
Proteger la utilización de contraseñas
La utilización de una contraseña maestra abre el acceso al área protegida
donde se almacenan el resto de contraseñas así como información
confidencial.
El acceso posterior a los servicios se realiza de forma automática y
no es necesario teclear la identificación.
09/06/2011
25
Proteger la utilización de contraseñas
Este tipo de programas pueden ser lanzados desde soportes
externos como pendrives USB o tarjetas SD con opción de
autoejecución.
Para mayor seguridad el dispositivo externo puede contar con
medidas de control de acceso específicas como contraseña
para acceso a zona privada o incluso utilización de biometria.
Descanso
¿Preguntas?