Testeando seguridad en aplicaciones móviles · 2019-06-19 · OWASP Promueve el desarrollo de...

Testeando seguridad en aplicaciones

móviles

Enrique G. DutraMVP Cloud and Datacenter Management 2018/2019MCDBA – MCSE - MCT 2013 – MCPAuditor Lider ISO/IEC 27001Punto Net Soluciones SRL

[email protected]://seguridadit.blogspot.com/Tw: @egdutra @puntonetsol

Punto Net Soluciones SRL © 2016

Enrique Gustavo Dutra Socio Gerente de Punto Net Soluciones SRL

MVP desde 2006, actualmente MVP Cloud and Datacenter Management

32 años de experiencia en Seguridad de laInformación/ Informática.

Responsable del área de Seguridad encompañías que han tercerizado el servicioen Punto Net Soluciones SRL.

Lidera equipo que realiza unos 500 test de vulnerabilidad anuales.

Miembro de IRAM Argentina, miembro delsubcomité de Seguridad IT, EvaluadorNorma ISO/IEC 27005 y 27103.

Instructor en CPCIPC de la ESAPI.

Disertante en eventos en LATAM.


Agenda

Problemática actual

Metodología de evaluación de software

OWASP◦ Metodología.

◦ Análisis estático vs dinámico.

◦ Herramientas y soluciones.

Infraestructura al rescate.


Situación actualExposición de los servicios y datos a Internet.


¿Qué ocurre hoy en Internet?


Plataformas inseguras

https://raidforums.com/


Problemáticas…

✓ Framework desarrollo instalado en producción.

✓ Ausencia de ambientes desarrollo / testing.

✓ Ausencia de validaciones en formularios Web.

✓ Fallas en validación/auntenticación.

✓ Software con ”hardcode”.

✓ Ausencia de conexión cifradas.

✓ Configuración Web permite SQL Injection.

✓ Usuarios de prueba en producción.

✓ Base de datos sin protección o semilla.

✓ Datos sensibles en base de datos :✓ Ley 25326 Rep. Arg.,

✓HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA),

✓ PCI-DSS,

✓Otros.


Ejemplos…


Introducción a OWASPOpen Web Application Security Project


OWASP

✓Promueve el desarrollo de software seguro

✓Orientada a la prestación de serviciosorientados a la Web.

✓Se centra principalmente en el "back-end"mas que en cuestiones de diseño web.

✓Un foro abierto para el debate.

✓Un recurso gratuito para cualquier equipode desarrollo de software.

https://www.owasp.org


OWASP Top 10

✓OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones WEB según la organización OWASP.

✓El objetivo de este proyecto es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.


OWASP

✓ Materiales de Educación◦ OWASP Top 10

◦ Guía de Desarrollo OWASP

◦ Guía de Testing OWASP

◦ Guía OWASP para aplicaciones Web Seguras

✓ Software◦ WebGoat

◦ WebScarab

◦ ESAPI

◦ ZAP

✓ Capítulos Locales◦ Comunidades interesadas en Seguridad de Aplicaciones


Maduración desde el 2004


Injection

Ejemplo: (demo)

1) Acceder sitio http://demo.testfire.net/2) Ingresar usuario admin o jsmith3) Password ' or '1'='1

4) Ingresar usuario ' or '1'='15) Password ' or '1'='1

http://demo.testfire.net/


Secuencia de Comandos en Sitios Cruzados (XSS)

Ejemplo: (demo)

1) Ingrese a demo.testfire.net2) En Search escriba :<h1><marquee> Bienvenidos a BSIDES Cordoba</marquee></h1>

3) Presione el botón GO.4) Copie el link de la URL en https://bitly.com/.5) Debe obtener el link https://bit.ly/2wH6Ilo6) Enviar por correo.

https://bitly.com/

https://bit.ly/2wH6Ilo


Más VulnerablePublicando servicios con aplicaciones móviles


Desarrollo inseguro

75% de las apps móviles no pasaríapruebas básicas de seguridad.

Controles de seguridad quedan excluidosdel proceso de diseño.

En entornos de desarrollo se debenvalidar las aplicaciones.

Del 100% testeado, 99.98% teníanproblemas de seguridad.


Análisis aplicaciones móviles

✓Análisis estático.

✓Análisis dinámico.

✓Análisis tráfico de red.

Desarrollo Area Seguridad

Analizar aplicaciones desarrolladas

internamente o por terceros

Analizar aplicaciones adquiridas por la

compañía


Análisis estático


Análisis dinámico


¿Cómo testear?

No hay presupuesto no es una excusa.

OWASP provee metodología de evaluación. VER PLANILLA.

Uso de herramientas Open-Source:◦ MobSF

◦ Qark

◦ Mara

BSIDES/20181201_v1_TEMPLATE.xlsx


MobSF - DEMO

MobSF es un entorno completo de análisis que permite hacer pruebas estáticas y dinámicas en ejecutables de Android (APK), iOS (IPA) y Windows Mobile (APPX).

✓ Información del archivo

✓ Información de la aplicación

✓ Posibles elementos vulnerables

✓ Naturaleza del código

✓ Análisis del código decompilado

✓ Información del certificado

✓ Listado de permisos

✓ Extras de seguridad


Mara Framework - DEMO

Es un marco de análisis e ingeniería inversa de aplicaciones móviles.

Es una herramienta que combina herramientas de ingeniería inversa y análisis de uso común para ayudar a probar las aplicaciones móviles contra las amenazas de seguridad móvil OWASP.


Mara Framework - DEMO

Ejecutar el comando .◦ /mara.sh -s <aplicacionapk>.apk

Resultados en◦ /MARA_Framework/data/APK.APK/Analysis


QARK - DEMO

Quick Android Review Kit

Herramienta de análisis de código estático, diseñada para reconocer posibles vulnerabilidades de seguridad y puntos de preocupación para las aplicaciones Android basadas en Java.

QARK educa a los desarrolladores.

Ejecutar el comando qark --apk <aplicacionapk>.apk


Links útiles

https://github.com/ashishb/android-security-awesome

https://www.owasp.org

https://github.com/ashishb/android-security-awesome


Código Fuente no puede modificarseResolver con Infraestructura


WAF

✓ SQL injection✓ Cross site scripting✓ Common attacks such as

command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack

✓ HTTP protocol violations✓ HTTP protocol anomalies✓ Bots, crawlers, and

scanners✓ Common application

misconfigurations (e.g. Apache, IIS, etc.)

✓ HTTP Denial of Service

Azure Web Application Firewall (WAF)

OWASP ModSecurity Core Rule Set (CRS)

OWASP core rule sets

https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project

Gracias por asistir

Blog https://seguridadit.blogspot.com/

Linkedin /in/enriquedutra/

Twitter.com/egdutra

Mail [email protected]

Estamos incorporando personal para el staff de Seg. Información, si te

interesa el desafío, contactanos a [email protected]

https://seguridadit.blogspot.com/

https://www.linkedin.com/in/enriquedutra/

Enrique G. DutraMVP Cloud and Datacenter Management 2018/2019MCDBA – MCSE - MCT 2013 – MCPAuditor Lider ISO/IEC 27001:2005Punto Net Soluciones SRL

[email protected]://seguridadit.blogspot.com/Tw: @egdutra @puntonetsol

Testeando seguridad en aplicaciones móviles · 2019-06-19 · OWASP Promueve el desarrollo de...

Documents

Transcript of Testeando seguridad en aplicaciones móviles · 2019-06-19 · OWASP Promueve el desarrollo de...