Fuga de datos en dispositivos móviles... batalla (casi) perdida!!!
Transcript of Fuga de datos en dispositivos móviles... batalla (casi) perdida!!!
www.isaca.org.uy
Fuga de datos en dispositivos
móviles... batalla (casi) perdida!!!
Juan Dávila, CISA, CISM, CRISC, Cobit 5 F
ISO 27001 LA, ISO 22301 LA
www.isaca.org.uy
Hoy hablaremos de…
www.isaca.org.uy
Agenda
• Comportamientos y cultura en DM.
• Riesgos en DM.
• Propuestas “ingenuosas” (algunas).
• ¿…tons qué? ¿hay fuga o qué?
www.isaca.org.uy
¿Qué pasa con los DM?
• “Cualquiera puede hacer lo que quiera en un DM, lo que
sea…, obviamente, sin que los dueños del DM lo sepan”,
Mathew Solnik, Black Hat 2014
• Instalar una aplicación, desconfigurar el equipo, volver a
la configuración de fábrica, cambiar el PIN, ...
• Ahora, el agregado es que el DM todo el tiempo está …
• Esto significa que todos nuestros datos en el DM están
…,
www.isaca.org.uy
No olvidemos que…
www.isaca.org.uy
Por ej. Android se basa en …
www.isaca.org.uy
Comportamientos y cultura
www.isaca.org.uy
Comportamientos y cultura
• En muy pocos años, los DM serán las computadoras
personales para todo efecto.
• Esa que dice: Es que aún no llego a la oficina/casa para
ver mis correos…hmmmm !!!
• Preguntas ingenuas: ¿Quién tiene nuestro número de
teléfono, IMEI, ubicación física, UDID, …?
www.isaca.org.uy
Comportamientos y cultura
www.isaca.org.uy
Comportamientos y cultura
• A ver, a ver…, si no te sucede, no entiendes
(cabalmente)… si no entiendes, no lo valoras, …, si no
lo valoras, …muy probablemente no actuarás en
consecuencia.
• TI no sabe lo que hace el usuario con sus DM.
• En mi país hay alta probabilidad de eventos sísmicos
(vivimos al borde de un abismo, de modo que…
lamentablemente… es cuestión de tiempo); sin
embargo, cuando incluyes el riesgo de eventos
sísmicos, nadie nos da pelota !!
www.isaca.org.uy
Incentivos !!
www.isaca.org.uy
Riesgos en DM
• ¿Cuántas formas de identificar DM conocemos?
• Número, SIM, IMEI, UDID, IMSI, IP, MAC, …
• ¿Qué elementos identifican al tráfico entre DM?
• Tramas, datagramas, paquetes, …
• Texto, audio, imágenes, …
• Proveedores, direcciones IP, servidores,
geolocalización por GPS o EBC, …
www.isaca.org.uy
Riesgos en DM
• Capa Física: Robos, pérdidas, …
• Capa Aplicación: Gestión remota, recolección de
datos, malware, …
• Capa SSOO: Parcheos, …
• Capa Normativa: Políticas, uso aceptable,
BYOD…
• Capa 8 (usuario) (cultural): La más pen….
www.isaca.org.uy
Riesgos en DM
www.isaca.org.uy
Riesgos en DM
www.isaca.org.uy
Riesgos en DM
• Datos, puertos, servicios, infraestructura
corporativa.
• Acceso a SSOO, aplicaciones del DM,
configuración del DM, aplicativos de negocio y
todo lo que esté instalado en el DM.
• A propósito, vieron que cuando se instalan
aplicaciones, siempre pide permisos para
acceder a elementos de configuración?
www.isaca.org.uy
Si instalas un App…
www.isaca.org.uy
Riesgos en DM
www.isaca.org.uy
Ecosistemas en DM
• Los ecosistemas en DM están muy por detrás de la
infraestructura establecida de parches para los sistemas
de escritorio y laptops.
• Por ej. En Android, cuando los “parcheros” encuentran
un nuevo bug, arreglarlo supone ir por Google, luego a
través de los fabricantes, los operadores y recién allí, a
los usuarios.
• ¿Resultado? TI tiene poca visión hacia dentro y ningún
control efectivo sobre la gestión de vulnerabilidad en la
seguridad de los DM.
www.isaca.org.uy
Capa SSOO
www.isaca.org.uy
Capa 8 – Inquietudes
• El usuario ignora las advertencias de seguridad,
actualizaciones sugeridas, permisos, avisos de
contraseñas, etc.
• ¿Cuántos de aquí tienen contraseña de arranque?
• ¿De los que dijeron “sí”, cuántos utilizan 4 números?
• El comportamiento del usuario implica un riesgo mayor
dado que carece de conciencia de seguridad de
información.
• Programas de concientización aislados, sin monitoreo y
verificación de efectividad.
• ¿Los usuarios utilizan su DM para acceder a los
datos de la empresa?
www.isaca.org.uy
Capa 8 – Revelaciones
• Menos del 50% de propietarios de DM usan contraseñas
o números de identificación personal (PINs) (% mucho
menor que los usuarios de PC).
• Entre los que hacen operaciones bancarias en DM, el
50% encripta los datos o usa algún tipo de software de
seguridad.
• Menos del 33% de los usuarios usa antivirus en sus DM
en comparación con un 91% en el portátil.
• El 45% de las personas no consideran la ciberseguridad
en sus DM como una amenaza similar a la de sus
computadores.
Estudio: Mayo 2014, Harris Interactive encargada por el CTIA [The Wireless
Association].
www.isaca.org.uy
Proyecto Symantec:
HoneyStick
• ¿Qué hacen ustedes cuando encuentran un
smartphone?
• Se “perdieron” 30 smartphones (monitoreados), con
aplicaciones, datos personales simulados, …
• 5 intentaron devolverlo.
• 29 intentaron acceder a datos y aplicaciones.
• 24 revisaron datos, fotos y redes sociales.
• 14 intentaron acceder al correo electrónico.
• 18 intentaron acceder al archivo de “contraseñas”.
www.isaca.org.uy
Artificios !!!
• Haga una auditoría de DM devueltos.
• Compre DM usados (second-hand).
• Pida un DM prestado.
• Al devolverlo, si son táctiles, lustre bien la pantalla…
www.isaca.org.uy
¿ … tons qué?
• ¿Se han preguntado qué diferencia a las tablets de los
smartphones?
• ¿Cuál de ellas utiliza casi exclusivamente redes WiFi?
• ¿Eso qué significa?
• Volviendo a la pregunta, ustedes ¿qué opinan?
• Obviamente, hay que considerar el apetito de riesgo
www.isaca.org.uy
Capa 8 – Consejos
• Contraseña de arranque (más compleja que 4 dígitos).
• Contraseña de bloqueo (diferente). iPhone 5S permite
utilizar huella dactilar para desbloqueo. Windows Phone
utiliza Bitlocker.
• Cifrado / Localización / Bloqueo y/o borrado remoto ...
• Evite guardar información confidencial.
• Respaldo periódico.
• Almacenamiento Off-Site: IMEI, contraseña y número
del DM para reporte de pérdida o robo.
www.isaca.org.uy
Estrategias
• MDM (Mobile Device Management): Orientado a la
gestión y al control centralizado de los DM corporativos
o personales. Permite contar con toda la información
referente al aparato, monitorizarlo, configurar políticas,
aplicaciones y tener un historial de cada equipo, entre
otras funcionalidades.
• MDP (Mobile Device Protection): Mecanismo utilizado
para la protección del propio dispositivo móvil a través
de la instalación de un cliente VPN/SSL, un antivirus, el
uso de cifrado y de métodos de autenticación robustos.
www.isaca.org.uy
Estrategias
• NAC (Network Access Control): Controlar el acceso a la
red corporativa de cada dispositivo móvil. Permite, entre
otras cosas, determinar si el equipo es personal o de la
compañía, aplicar políticas de seguridad para
operaciones sensibles realizadas a través del dispositivo
y reparar dispositivos por medio de la instalación y
actualización de aplicaciones por medio de VLAN y
considerando el perfil de autenticación del mismo.
• MAM (Mobile Application Management): Gestiona las
aplicaciones a partir de listas negras y blancas, provee
entornos virtuales, aplica políticas P2P, entre otras
funcionalidades.
www.isaca.org.uy
Estrategias
• MDS (Mobile Data Security): Mecanismo encargado de
la seguridad de los datos, la protección de los puertos
Wi-Fi, Bluetooth y mini USB del dispositivo, así como la
instalación de un cliente DLP (para controlar y evitar la
pérdida de datos) y el uso de IRM (para administrar los
derechos sobre la información).
IMPORTANTE: Implementar estos mecanismos de
seguridad puede implicar uso de servicios de nube pública
o privada. Eso depende de las políticas y los recursos de
cada compañía.
www.isaca.org.uy
Estrategias
www.isaca.org.uy
Opciones – Blackphone
(Android)
• Apps de seguridad y cifrado vía PrivOS.
• Aplicaciones: Silent Voice y Silent Text permiten realizar
llamadas y enviar textos de forma privada.
• Aplicaciones: SpiderOak crea una nube privada para
backup cifrado de información de usuarios.
• Navegación: Privada vía VPN, las búsquedas no dejan
direcciones IP ni almacenan cookies. El gestor WiFi sólo
se conecta a puntos de acceso con relación de
confianza.
www.isaca.org.uy
Configuraciones básicas
• Navegador: Configuración – Guardar contraseñas
• Navegador: Configuración – Privacidad – Don´t track
• Navegador: Configuración – Configuración de contenido
– Configuración de sitios web – Borrar datos
almacenados
• Navegador: Configuración – Gestión de ancho de banda
– Reducir el uso de datos.
• Ubicación: Access my ubication / Wi-Fi / Bluetooth / …
• Compartir acceso a Internet
www.isaca.org.uy
Configuraciones básicas
• Permisos para aplicaciones: Ubicación – comunicación
de red – mensajes – información personal – cuentas –
espacio de almacenamiento – controles de hardware –
herramientas del sistema - …
• Borrar datos asociados a las aplicaciones: Archivos –
configuración – cuentas – BBDD – …
• Borrar datos de memoria caché.
• Bloquear la visibilidad de su número
www.isaca.org.uy
¿Y si invertimos la figura?
• El móvil como elemento de seguridad.
• ¿WTF?
www.isaca.org.uy
OTP
• HW: Tokens no son baratos.
• Despliegue, gestión de cuentas, monitoreo de
(mal) uso, compartición de cuentas-tokens, …
• Los usuarios deben ingresar un código.
• A los usuarios no les gustan los códigos !!!
www.isaca.org.uy
Imaginemos que …
www.isaca.org.uy
Pero …, hay un problema !!
• Por default, nuestros DM simplemente…
www.isaca.org.uy
Una forma es …
• California obligará incluir el bloqueo remoto “kill
switch” a todos los smartphones en 2015,
además de Minessota…
www.isaca.org.uy
Bue… cambiemos !!!
www.isaca.org.uy
2.- Temporary Pariring token
4.-AppID+Temp pairing Token
5.- OK+Unique Latch
6.-ID Latch appers in app
1.- Generate pairing code
3.- User introduces Temp Pairing token
Emparejamiento
www.isaca.org.uy
1.- Client sends Login/password
2.- Web checks Credentials with Its users DB
3.- asks about Latch1 status
4.- Latch 1 is OFF
5.- Login Error
6.- Someone try to get Access to Latch 1 id.
Autenticación
www.isaca.org.uy
Demo