fuga de datos en dispositivos móviles... batalla (casi) perdida!!!
TRANSCRIPT
www.isaca.org.uy
Fuga de datos en dispositivos
móviles... batalla (casi) perdida!!!
Juan Dávila, CISA, CISM, CRISC, Cobit 5 F
ISO 27001 LA, ISO 22301 LA
www.isaca.org.uy
Hoy hablaremos de…
www.isaca.org.uy
Agenda
• Comportamientos y cultura en DM.
• Riesgos en DM.
• Propuestas “ingenuosas” (algunas).
• ¿…tons qué? ¿hay fuga o qué?
www.isaca.org.uy
¿Qué pasa con los DM?
• “Cualquiera puede hacer lo que quiera en un DM, lo que
sea…, obviamente, sin que los dueños del DM lo sepan”,
Mathew Solnik, Black Hat 2014
• Instalar una aplicación, desconfigurar el equipo, volver a
la configuración de fábrica, cambiar el PIN, ...
• Ahora, el agregado es que el DM todo el tiempo está …
• Esto significa que todos nuestros datos en el DM están
…,
www.isaca.org.uy
No olvidemos que…
www.isaca.org.uy
Por ej. Android se basa en …
www.isaca.org.uy
Comportamientos y cultura
www.isaca.org.uy
Comportamientos y cultura
• En muy pocos años, los DM serán las computadoras
personales para todo efecto.
• Esa que dice: Es que aún no llego a la oficina/casa para
ver mis correos…hmmmm !!!
• Preguntas ingenuas: ¿Quién tiene nuestro número de
teléfono, IMEI, ubicación física, UDID, …?
www.isaca.org.uy
Comportamientos y cultura
www.isaca.org.uy
Comportamientos y cultura
• A ver, a ver…, si no te sucede, no entiendes
(cabalmente)… si no entiendes, no lo valoras, …, si no
lo valoras, …muy probablemente no actuarás en
consecuencia.
• TI no sabe lo que hace el usuario con sus DM.
• En mi país hay alta probabilidad de eventos sísmicos
(vivimos al borde de un abismo, de modo que…
lamentablemente… es cuestión de tiempo); sin
embargo, cuando incluyes el riesgo de eventos
sísmicos, nadie nos da pelota !!
www.isaca.org.uy
Incentivos !!
www.isaca.org.uy
Riesgos en DM
• ¿Cuántas formas de identificar DM conocemos?
• Número, SIM, IMEI, UDID, IMSI, IP, MAC, …
• ¿Qué elementos identifican al tráfico entre DM?
• Tramas, datagramas, paquetes, …
• Texto, audio, imágenes, …
• Proveedores, direcciones IP, servidores,
geolocalización por GPS o EBC, …
www.isaca.org.uy
Riesgos en DM
• Capa Física: Robos, pérdidas, …
• Capa Aplicación: Gestión remota, recolección de
datos, malware, …
• Capa SSOO: Parcheos, …
• Capa Normativa: Políticas, uso aceptable,
BYOD…
• Capa 8 (usuario) (cultural): La más pen….
www.isaca.org.uy
Riesgos en DM
www.isaca.org.uy
Riesgos en DM
www.isaca.org.uy
Riesgos en DM
• Datos, puertos, servicios, infraestructura
corporativa.
• Acceso a SSOO, aplicaciones del DM,
configuración del DM, aplicativos de negocio y
todo lo que esté instalado en el DM.
• A propósito, vieron que cuando se instalan
aplicaciones, siempre pide permisos para
acceder a elementos de configuración?
www.isaca.org.uy
Si instalas un App…
www.isaca.org.uy
Riesgos en DM
www.isaca.org.uy
Ecosistemas en DM
• Los ecosistemas en DM están muy por detrás de la
infraestructura establecida de parches para los sistemas
de escritorio y laptops.
• Por ej. En Android, cuando los “parcheros” encuentran
un nuevo bug, arreglarlo supone ir por Google, luego a
través de los fabricantes, los operadores y recién allí, a
los usuarios.
• ¿Resultado? TI tiene poca visión hacia dentro y ningún
control efectivo sobre la gestión de vulnerabilidad en la
seguridad de los DM.
www.isaca.org.uy
Capa SSOO
www.isaca.org.uy
Capa 8 – Inquietudes
• El usuario ignora las advertencias de seguridad,
actualizaciones sugeridas, permisos, avisos de
contraseñas, etc.
• ¿Cuántos de aquí tienen contraseña de arranque?
• ¿De los que dijeron “sí”, cuántos utilizan 4 números?
• El comportamiento del usuario implica un riesgo mayor
dado que carece de conciencia de seguridad de
información.
• Programas de concientización aislados, sin monitoreo y
verificación de efectividad.
• ¿Los usuarios utilizan su DM para acceder a los
datos de la empresa?
www.isaca.org.uy
Capa 8 – Revelaciones
• Menos del 50% de propietarios de DM usan contraseñas
o números de identificación personal (PINs) (% mucho
menor que los usuarios de PC).
• Entre los que hacen operaciones bancarias en DM, el
50% encripta los datos o usa algún tipo de software de
seguridad.
• Menos del 33% de los usuarios usa antivirus en sus DM
en comparación con un 91% en el portátil.
• El 45% de las personas no consideran la ciberseguridad
en sus DM como una amenaza similar a la de sus
computadores.
Estudio: Mayo 2014, Harris Interactive encargada por el CTIA [The Wireless
Association].
www.isaca.org.uy
Proyecto Symantec:
HoneyStick
• ¿Qué hacen ustedes cuando encuentran un
smartphone?
• Se “perdieron” 30 smartphones (monitoreados), con
aplicaciones, datos personales simulados, …
• 5 intentaron devolverlo.
• 29 intentaron acceder a datos y aplicaciones.
• 24 revisaron datos, fotos y redes sociales.
• 14 intentaron acceder al correo electrónico.
• 18 intentaron acceder al archivo de “contraseñas”.
www.isaca.org.uy
Artificios !!!
• Haga una auditoría de DM devueltos.
• Compre DM usados (second-hand).
• Pida un DM prestado.
• Al devolverlo, si son táctiles, lustre bien la pantalla…
www.isaca.org.uy
¿ … tons qué?
• ¿Se han preguntado qué diferencia a las tablets de los
smartphones?
• ¿Cuál de ellas utiliza casi exclusivamente redes WiFi?
• ¿Eso qué significa?
• Volviendo a la pregunta, ustedes ¿qué opinan?
• Obviamente, hay que considerar el apetito de riesgo
www.isaca.org.uy
Capa 8 – Consejos
• Contraseña de arranque (más compleja que 4 dígitos).
• Contraseña de bloqueo (diferente). iPhone 5S permite
utilizar huella dactilar para desbloqueo. Windows Phone
utiliza Bitlocker.
• Cifrado / Localización / Bloqueo y/o borrado remoto ...
• Evite guardar información confidencial.
• Respaldo periódico.
• Almacenamiento Off-Site: IMEI, contraseña y número
del DM para reporte de pérdida o robo.
www.isaca.org.uy
Estrategias
• MDM (Mobile Device Management): Orientado a la
gestión y al control centralizado de los DM corporativos
o personales. Permite contar con toda la información
referente al aparato, monitorizarlo, configurar políticas,
aplicaciones y tener un historial de cada equipo, entre
otras funcionalidades.
• MDP (Mobile Device Protection): Mecanismo utilizado
para la protección del propio dispositivo móvil a través
de la instalación de un cliente VPN/SSL, un antivirus, el
uso de cifrado y de métodos de autenticación robustos.
www.isaca.org.uy
Estrategias
• NAC (Network Access Control): Controlar el acceso a la
red corporativa de cada dispositivo móvil. Permite, entre
otras cosas, determinar si el equipo es personal o de la
compañía, aplicar políticas de seguridad para
operaciones sensibles realizadas a través del dispositivo
y reparar dispositivos por medio de la instalación y
actualización de aplicaciones por medio de VLAN y
considerando el perfil de autenticación del mismo.
• MAM (Mobile Application Management): Gestiona las
aplicaciones a partir de listas negras y blancas, provee
entornos virtuales, aplica políticas P2P, entre otras
funcionalidades.
www.isaca.org.uy
Estrategias
• MDS (Mobile Data Security): Mecanismo encargado de
la seguridad de los datos, la protección de los puertos
Wi-Fi, Bluetooth y mini USB del dispositivo, así como la
instalación de un cliente DLP (para controlar y evitar la
pérdida de datos) y el uso de IRM (para administrar los
derechos sobre la información).
IMPORTANTE: Implementar estos mecanismos de
seguridad puede implicar uso de servicios de nube pública
o privada. Eso depende de las políticas y los recursos de
cada compañía.
www.isaca.org.uy
Estrategias
www.isaca.org.uy
Opciones – Blackphone
(Android)
• Apps de seguridad y cifrado vía PrivOS.
• Aplicaciones: Silent Voice y Silent Text permiten realizar
llamadas y enviar textos de forma privada.
• Aplicaciones: SpiderOak crea una nube privada para
backup cifrado de información de usuarios.
• Navegación: Privada vía VPN, las búsquedas no dejan
direcciones IP ni almacenan cookies. El gestor WiFi sólo
se conecta a puntos de acceso con relación de
confianza.
www.isaca.org.uy
Configuraciones básicas
• Navegador: Configuración – Guardar contraseñas
• Navegador: Configuración – Privacidad – Don´t track
• Navegador: Configuración – Configuración de contenido
– Configuración de sitios web – Borrar datos
almacenados
• Navegador: Configuración – Gestión de ancho de banda
– Reducir el uso de datos.
• Ubicación: Access my ubication / Wi-Fi / Bluetooth / …
• Compartir acceso a Internet
www.isaca.org.uy
Configuraciones básicas
• Permisos para aplicaciones: Ubicación – comunicación
de red – mensajes – información personal – cuentas –
espacio de almacenamiento – controles de hardware –
herramientas del sistema - …
• Borrar datos asociados a las aplicaciones: Archivos –
configuración – cuentas – BBDD – …
• Borrar datos de memoria caché.
• Bloquear la visibilidad de su número
www.isaca.org.uy
¿Y si invertimos la figura?
• El móvil como elemento de seguridad.
• ¿WTF?
www.isaca.org.uy
OTP
• HW: Tokens no son baratos.
• Despliegue, gestión de cuentas, monitoreo de
(mal) uso, compartición de cuentas-tokens, …
• Los usuarios deben ingresar un código.
• A los usuarios no les gustan los códigos !!!
www.isaca.org.uy
Imaginemos que …
www.isaca.org.uy
Pero …, hay un problema !!
• Por default, nuestros DM simplemente…
www.isaca.org.uy
Una forma es …
• California obligará incluir el bloqueo remoto “kill
switch” a todos los smartphones en 2015,
además de Minessota…
www.isaca.org.uy
Bue… cambiemos !!!
www.isaca.org.uy
2.- Temporary Pariring token
4.-AppID+Temp pairing Token
5.- OK+Unique Latch
6.-ID Latch appers in app
1.- Generate pairing code
3.- User introduces Temp Pairing token
Emparejamiento
www.isaca.org.uy
1.- Client sends Login/password
2.- Web checks Credentials with Its users DB
3.- asks about Latch1 status
4.- Latch 1 is OFF
5.- Login Error
6.- Someone try to get Access to Latch 1 id.
Autenticación
www.isaca.org.uy
Demo
