09/06/2011

1

Seguridad en la utilización de portátiles,

smartphones y dispositivos móviles

Juan Carlos Rodríguez

jcrodriguez@s21sec.com

Las claves de la seguridad

Pág. 2

Información

Confidencialidad Integridad

Disponibilidad

Asegurar que la información sea únicamente accesible para los

usuarios autorizados.

Asegurar la exactitud y veracidad de la información

Asegurar que la información esté siempre accesibe.

09/06/2011

2

Dispositivos móviles

En la actualidad utilizamos a diario una gran variedad de

dispositivos móviles capaces de almacenar y gestionar información.

Su portabilidad, y reducido tamaño permiten su transporte con facilidad, y

por ello son más vulnerables a ser olvidados, perdido o robados.

¿Cómo protegernos de su robo?

Pág. 4

1. Siendo precavidos:

• No llevando el móvil en el bolsillo de la chaqueta o carteras y bolsos

• No dejar el móvil encima de la mesa en cafeterías o restaurantes

• No dar “pistas” de que llevamos un portátil, tablet o similar con fundas

muy llamativas o de diseño muy exclusivo y específico

• Especial atención en los controles de seguridad en aeropuertos.

09/06/2011

3

¿Cómo protegernos de su robo?

Pág. 5

• Podemos utilizar medidas disuasorias.

¿Podemos localizarlo?

Pág. 6

• Existen sistemas de Geolocalización.

09/06/2011

4

Cuando trabajamos con portátiles y smartphones

Pág. 7

• ¿Estamos seguros que no nos observan?.

¿Y cuando nos conectamos a redes WIFI?

El pago por este servicio suele ser elevado,

por ello encontrar un Punto de Acceso abierto

sin contraseña !ES TENTADOR!, pero

¿Cómo podemos estar seguros de la “honradez” de esta conexión?

¿Cómo sabemos que esta conexión no es un “cebo” para capturar el tráfico que enviamos?

09/06/2011

5

¿Sabemos qué uso hacen de los smartphone los usuarios?

JailBreak para IPhone

“Root” para Android

JailBreak en Iphone

Permite “desbloquear” el equipo y tener acceso completo al dispositivo.

Permite instalar aplicaciones desde lugares “no legales”

En algunas instalaciones se configura un servicio para acceso remoto

mediante SSH con un usuario y contraseña por defecto conocida y

publicada en Internet.

¿Y si estamos conectados por 3G?

Pág. 10

09/06/2011

6

¿Que aplicaciones utilizan y de donde las descargan?

Listado de algunas aplicaciones con malware para

Android

Advanced Currency Converter

App Uninstaller

Chess

Dice Roller

Falling Ball Dodge

Falling Down

Funny Paint

Hilton Sex Sound

Hot Sexy Videos

Photo Editor

Scientific Calculator

Screaming Sexy Japanese Girls

Spider Man

Super Guitar Solo

Super History Eraser

Super Ringtone Maker

Super Sex Positions

Pág. 12

Advanced App to SD

Advanced Barcode Scanner

Advanced Compass Leveler

Advanced File Manager

Best password safe

Bowling Time

Magic Strobe Light

Music Box

Sexy Girls: Japanese

Sexy Legs

Super Stopwatch & Timer

Supre Bluetooth Transfer

Task Killer Pro

Advanced Sound Manager

Basketball Shot Now

Bubble Shoot

Color Blindness Test

Finger Race

Funny Face

Magic Hypnotic Spiral

Omok Five in a Row

Piano

Quick Delete Contacts

Quick Notes

Super Sexy Ringtones

Tie a Tie

07/03/2011 PCWORLD PROFESIONAL

•Lee las críticas y las reseñas antes de descargar un programa

•Consulta siempre los permisos de la aplicación

•Evita instalar archivos Android Package (APK).

•Instala un escáner antivirus y/o antimalware

09/06/2011

7

¿Podemos controlar de manera centralizada estos equipos?

¿Podemos controlar de manera centralizada estos equipos

y sus configuraciones?

BlackBerry Enterprise Server

09/06/2011

8

Actualización del software en SmartPhones

Al igual que con el resto de equipos, debemos mantener actualizado los

terminales asegurándonos que el software provenga del fabricante

Pág. 15

BlackBerry Protect

Permite configurar opciones de seguridad y recuperación para

dispositivos que no están dentro del servicio BES

Pág. 16

09/06/2011

9

Búsqueda dispositivos Apple

Pág. 17

Windows Mobile, Symbian, Android

Pág. 18

09/06/2011

10

Aviso de perdida o alejamiento del smartphone

ZOMM, avisa si el smartphone se aleja del dispositivo más alla de los

10 mts.

basado en la conectividad Bluetooth, escompatible con cualquier

terminal móvil de última generación

Pág. 19

¿Qué es lo más valioso que pueden robarnos?

La información contenida en nuestros equipos

Documentos laborales y privados.

Fotografías y Videos personales.

Mensajes de correo privados.

Información sobre cuentas bancarias

Reservas de viajes.

…

¿Cómo protegemos el acceso a toda esta información personal

y laboral?

09/06/2011

11

PDA’s y Teléfonos móviles

La utilización de las PDA y móviles de última generación brinda la

oportunidad de acercar la ofimática y las comunicaciones a la palma de la

mano.

En estos dispositivos frecuentemente se almacena información

confidencial, contactos de clientes, proveedores, contraseñas, …

¿Cómo se protege todo este contenido?

¿Cómo protegernos la información que contienen?

Pág. 22

• Si es posible, configurar el cifrado de la información,

tanto en el terminal como en la tarjeta externa.

09/06/2011

12

PDA’s y Teléfonos móviles

El primer acceso al dispositivo requiere introducir un PIN secreto, pero …

¿Y si olvidamos o perdemos el dispositivo ya conectado?

¿Tenemos bloqueado con contraseña el dispositivo tras un tiempo de

inactividad?

¿Resulta cómodo trabajar de esta manera?

Un reciente estudio confirma que la

mayoría de usuarios almacenan

información confidencial en sus teléfonos,

a pesar del hecho de que el 20 por ciento

de los entrevistados han asegurado que

han perdido o les han robado en alguna

ocasión sus smartphones.

¿Cómo protegernos el acceso al terminal?

Pág. 24

• En los smartphones es conveniente bloquear el acceso al terminal tras

inactividad.

• La utilización de códigos de protección para móviles llega al 68 por ciento

en España.

09/06/2011

13

Conexiones bluetooth

Permiten la conexión inalámbrica y el intercambio de información

entre dispositivos compatibles.

Muy utilizado para conectar otros dispositivos (auriculares, manos

libres, GPS, …) a móviles y PDA’s.

Activado y en la mayoría de las configuraciones permite que el

dispositivo sea descubierto y pueda intentarse una conexión.

Ataques a conexiones Bluetooth

Ataques a los primeros terminales con implementaciones incorrectas de los fabricantes

• BlueSnarf: Extraer archivos del teléfono

• BlueBug: Acceso a lo comandos AT

• HeloMoto: Acceso a comandos AT

(solo en antiguos terminales Motorola)

Ataques a equipos actuales

• BlueLine: Engañar al usuario para que acepte la conexión

• BlueMacSpoofing: suplantar la MAC de un equipo de confianza.

• BTCrack: Crackear el PIN y la clave de enlace de la conexión

http://gospel.endorasoft.es/eventos/alcolea07/Alcolea07_SeguridadMobile.pdf

- Motorola V80

- Motorola V800

- Nokia 6310i

- Nokia 7650

- Nokia 8910i

- Ericsson T39

- Ericsson R520m

- Ericsson T68

- Siemens S55

- Siemens SX1

- Sony Ericsson T68i

- Sony Ericsson T610

- Sony Ericsson T630

- Sony Ericsson Z600

- Sony Ericsson Z1010

09/06/2011

14

¿Cómo mejorar la seguridad Bluetooth?

Pág. 27

• No activar bluetooth si no es necesario y no dejar el

dispositivo reconocible.

Recomendaciones seguridad Bluetooth

Desactivar Bluetooth mientras no se utiliza

• Si es necesario configurar el modo de “no descubrimiento”

No aceptar conexiones de equipos desconocidos

• Rechazar intentos de emparejamiento

No aceptar archivos de equipos desconocidos

• Aunque parezca que provienen de un hot spot comercial

Eliminar entrada de emparejamiento sin utilizar

• Suplantar la MAC_ADRR es trivial

• Se pueden robar claves de enlace por ingeniería social

http://www.securityfocus.com/print/infocus/1830

http://www.securityfocus.com/print/infocus/1836

09/06/2011

15

En resumen en tu Smartphone:

Introduce una clave de acceso o bloqueo de contraseña en el móvil

Elige y descarga una aplicación para cifrar los datos

Realiza copia de seguridad de tu dispositivo y restaura a los valores de

fábrica antes de enviar tu smartphone al centro de reparaciones

Utiliza una aplicación de limpieza automática, para borrar todas las

configuraciones y los datos si alguien introduce mal el código de acceso o

contraseña en varias ocasiones

Consigue una aplicación que te permita el borrado remoto de todas las

configuraciones y los datos.

Instala un dispositivo de rastreo basado en GPS y HSDPA para

encontrar tu móvil cuando lo pierdas o te lo roben

Descarga aplicaciones de fuentes de confianza y tiendas de aplicaciones

oficiales.

Mantén tu móvil al día, con el sistema operativo actualizado.

No hagas jailbreak, root o modifiques el sistema operativo con versiones

de fuentes no oficiales.

Instala un antivirus y firewall para detectar y detener cualquier tipo de

intrusión o infección.

Pág. 29

Recomendaciones para IPhone

En iPhone 4 podemos activar una clave de acceso. Pulsamos Ajustes>

General>Bloqueo con código>Activar código

El cifrado en iPhone 4 está disponible y se activa automáticamente cuando

establecemos un código de acceso.

El borrado automático de todos los datos almacenados en el dispositivo, se

puede activar poniendo la opción del menú Borrar datos en ON, lo que

eliminará toda la información después de diez intentos fallidos de introducir

la contraseña

Para el seguimiento y borrado remoto del dispositivo, podemos

registrarnos en el servicio MobileMe de Apple

Realizar una copia de seguridad mediante la sincronización con iTunes en

un PC o MAC, seleccionando además la opción de Transferir Compras

Para almacenar información vital, como contraseñas o detalles de tarjetas de

crédito, utilizauna aplicación que guarde esta información encriptada,

como Keeper Password & Data Vault

Pág. 30

09/06/2011

16

Recomendaciones para Android

Tres métodos para bloquear el terminal: PIN de 4 dígitos, contraseña, y el

patrón

actualmente Android no tiene ningún tipo de cifrado a nivel de hardware, es

conveniente utilizar una aplicación de cifrado de terceros, como Keeper

Password & Data Vault

Para el borrado remoto existen aplicaciones como WaveSecure de McAfee

Los dispositivos con Android están más expuestos a virus e intrusiones que

iOS de Apple o BlackBerry , al tratarse de una plataforma abierta, instala

algún Antivirus para esta plataforma.

En caso de avería, o si queremos ceder nuestro terminal a otro usuario y

dárselo “limpio”, debemos realizar una copia de seguridad previa al reseteo

del dispositivo a valores de fábrica; antes deberás haber accedido a tu

cuenta de Google, y sincronizado contactos, calendario y tareas

Pág. 31

Trabajando con Portátiles y Netbooks

Pág. 32

09/06/2011

17

Control acceso al equipo

En ordenadores portátiles, se confía en el proceso de autenticación

ofrecido por el S.O.

¿Es infranqueable

esta barrera?

• Si tenemos acceso físico al equipo, es posible acceder al sistema de

archivos sin conocer las credenciales de acceso.

En sistemas Windows:

•Es posible iniciar el equipo desde un diskette con DOS y a continuación

ejecutar utilidades como NTFSDOS para montar el sistema de archivos NTFS.

•Podemos arrancar el equipo con una distribución CD_LIVE_Linux/XP y

mediante utilidades existentes, cambiar la contraseña de la cuenta

administrador.

En sistemas Linux:

•Podemos arrancar el equipo con otra distribución CD_LIVE_Linux montar la

partición original y editar el fichero /etc/shadow para modificar la contraseña del

administrador

Control acceso a portátiles

09/06/2011

18

Hiren’s boot CD

Confidencialidad de la Información

¿Cómo podemos proteger entonces información confidencial?

Utilizando la criptografía para “cifrar” la información mediante

técnicas y algoritmos independientes de la autenticación del

sistema operativo.

09/06/2011

19

Confidencialidad de la Información

A partir de W2000 se incluye el sistema EFS (Encryption File System):

• Cifra el contenido de carpetas y ficheros de forma transparente para el usuario

• No solicita ninguna contraseña para el cifrado, se apoya en la cuenta de usuario utilizada para iniciar sesión.

Confidencialidad de la Información

Aviso de Seguridad al forzar el cambio de contraseña de un usuario

09/06/2011

20

Confidencialidad de la Información

Existen diversos programas que permiten aplicar técnicas de cifrado a carpetas y ficheros.

• AxCrypt (Cifrado simétrico)

• TrueCrypt (monta volúmenes cifrados)

• PGP/GPG (cifrado, firma y montaje de volúmenes cifrados)

Confidencialidad de la Información

El programa AxCrypt, se integra en el explorador de archivos.

09/06/2011

21

Confidencialidad de la Información

TrueCrypt

•Permite el cifrado de particiones y/o dispositivos externos

o la creación de volúmenes cifrados (host-file)

•La contraseña de acceso puede estar almacenada en un

dispositivo externo.

Confidencialidad de la Información

TrueCrypt, Ejemplo de acceso a un volumen cifrado

09/06/2011

22

Ocultar información, Esteganografía

Práctica utilizada para ocultar la información confidencial.

La técnica más habitual consiste en ocultar una información dentro de

otra. (por ej. Un fichero de texto dentro de una imagen).

Ocultar información, Streaming

En los sistemas Windows con particiones NTFS la técnica de streaming

permite ocultar un fichero dentro de otro.

09/06/2011

23

Borrado Irrecuperable de información

Cuando en nuestro equipo se almacenan documentos “confidenciales”

¿Estamos seguro que cuando los borramos o dejamos de

utilizarlos no son recuperables?

•Sistemas como Windows proveen de la “papelera de reciclaje”

para la recuperación de ficheros borrados accidentalmente

•En general, los programas de ofimática crean copias temporales

de los archivos con los que estamos trabajando.

•Los S.O. trabajan con “memoria virtual” volcando temporalmente

contenido del disco a RAM y viceversa.

•Existen utilidades capaces de recuperar información directamente

de los sectores del disco.

Borrado de información confidencial

Es necesario sobreescribir múltiples veces con datos aleatorios el

contenido de los ficheros que deseamos eliminar.

09/06/2011

24

Proteger la utilización de contraseñas

Si utilizamos nuestro equipo en un lugar que no es de absoluta confianza, (un

hotel, un cybercafe, …) debemos evitar la utilización de aplicaciones que

requieran la identificación mediante la usuario y password sin tomar

precauciones especiales para evitar su captura.

Es recomendable la utilización de programas que almacenan estos pares de

valores, de manera que no sea necesario teclearlos y así no ser capturados

por keyloggers o videocámaras.

Proteger la utilización de contraseñas

La utilización de una contraseña maestra abre el acceso al área protegida

donde se almacenan el resto de contraseñas así como información

confidencial.

El acceso posterior a los servicios se realiza de forma automática y

no es necesario teclear la identificación.

09/06/2011

25

Proteger la utilización de contraseñas

Este tipo de programas pueden ser lanzados desde soportes

externos como pendrives USB o tarjetas SD con opción de

autoejecución.

Para mayor seguridad el dispositivo externo puede contar con

medidas de control de acceso específicas como contraseña

para acceso a zona privada o incluso utilización de biometria.

Descanso

¿Preguntas?