Testeando seguridad en aplicaciones móviles · 2019-06-19 · OWASP Promueve el desarrollo de...
Transcript of Testeando seguridad en aplicaciones móviles · 2019-06-19 · OWASP Promueve el desarrollo de...
Testeando seguridad en aplicaciones
móviles
Enrique G. DutraMVP Cloud and Datacenter Management 2018/2019MCDBA – MCSE - MCT 2013 – MCPAuditor Lider ISO/IEC 27001Punto Net Soluciones SRL
[email protected]://seguridadit.blogspot.com/Tw: @egdutra @puntonetsol
Punto Net Soluciones SRL © 2016
Enrique Gustavo Dutra Socio Gerente de Punto Net Soluciones SRL
MVP desde 2006, actualmente MVP Cloud and Datacenter Management
32 años de experiencia en Seguridad de laInformación/ Informática.
Responsable del área de Seguridad encompañías que han tercerizado el servicioen Punto Net Soluciones SRL.
Lidera equipo que realiza unos 500 test de vulnerabilidad anuales.
Miembro de IRAM Argentina, miembro delsubcomité de Seguridad IT, EvaluadorNorma ISO/IEC 27005 y 27103.
Instructor en CPCIPC de la ESAPI.
Disertante en eventos en LATAM.
Punto Net Soluciones SRL © 2016
Agenda
Problemática actual
Metodología de evaluación de software
OWASP◦ Metodología.
◦ Análisis estático vs dinámico.
◦ Herramientas y soluciones.
Infraestructura al rescate.
Punto Net Soluciones SRL © 2013
Situación actualExposición de los servicios y datos a Internet.
Punto Net Soluciones SRL © 2016
¿Qué ocurre hoy en Internet?
Punto Net Soluciones SRL © 2016
Plataformas inseguras
https://raidforums.com/
Punto Net Soluciones SRL © 2016
Problemáticas…
✓ Framework desarrollo instalado en producción.
✓ Ausencia de ambientes desarrollo / testing.
✓ Ausencia de validaciones en formularios Web.
✓ Fallas en validación/auntenticación.
✓ Software con ”hardcode”.
✓ Ausencia de conexión cifradas.
✓ Configuración Web permite SQL Injection.
✓ Usuarios de prueba en producción.
✓ Base de datos sin protección o semilla.
✓ Datos sensibles en base de datos :✓ Ley 25326 Rep. Arg.,
✓HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA),
✓ PCI-DSS,
✓Otros.
Punto Net Soluciones SRL © 2016
Ejemplos…
Punto Net Soluciones SRL © 2013
Introducción a OWASPOpen Web Application Security Project
Punto Net Soluciones SRL © 2016
OWASP
✓Promueve el desarrollo de software seguro
✓Orientada a la prestación de serviciosorientados a la Web.
✓Se centra principalmente en el "back-end"mas que en cuestiones de diseño web.
✓Un foro abierto para el debate.
✓Un recurso gratuito para cualquier equipode desarrollo de software.
https://www.owasp.org
Punto Net Soluciones SRL © 2016
OWASP Top 10
✓OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones WEB según la organización OWASP.
✓El objetivo de este proyecto es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.
Punto Net Soluciones SRL © 2016
OWASP
✓ Materiales de Educación◦ OWASP Top 10
◦ Guía de Desarrollo OWASP
◦ Guía de Testing OWASP
◦ Guía OWASP para aplicaciones Web Seguras
✓ Software◦ WebGoat
◦ WebScarab
◦ ESAPI
◦ ZAP
✓ Capítulos Locales◦ Comunidades interesadas en Seguridad de Aplicaciones
Punto Net Soluciones SRL © 2016
Maduración desde el 2004
Punto Net Soluciones SRL © 2016
Injection
Ejemplo: (demo)
1) Acceder sitio http://demo.testfire.net/2) Ingresar usuario admin o jsmith3) Password ' or '1'='1
4) Ingresar usuario ' or '1'='15) Password ' or '1'='1
Punto Net Soluciones SRL © 2016
Secuencia de Comandos en Sitios Cruzados (XSS)
Ejemplo: (demo)
1) Ingrese a demo.testfire.net2) En Search escriba :<h1><marquee> Bienvenidos a BSIDES Cordoba</marquee></h1>
3) Presione el botón GO.4) Copie el link de la URL en https://bitly.com/.5) Debe obtener el link https://bit.ly/2wH6Ilo6) Enviar por correo.
Punto Net Soluciones SRL © 2013
Más VulnerablePublicando servicios con aplicaciones móviles
Punto Net Soluciones SRL © 2016
Desarrollo inseguro
75% de las apps móviles no pasaríapruebas básicas de seguridad.
Controles de seguridad quedan excluidosdel proceso de diseño.
En entornos de desarrollo se debenvalidar las aplicaciones.
Del 100% testeado, 99.98% teníanproblemas de seguridad.
Punto Net Soluciones SRL © 2016
Análisis aplicaciones móviles
✓Análisis estático.
✓Análisis dinámico.
✓Análisis tráfico de red.
Desarrollo Area Seguridad
Analizar aplicaciones desarrolladas
internamente o por terceros
Analizar aplicaciones adquiridas por la
compañía
Punto Net Soluciones SRL © 2016
Análisis estático
Punto Net Soluciones SRL © 2016
Análisis dinámico
Punto Net Soluciones SRL © 2016
¿Cómo testear?
No hay presupuesto no es una excusa.
OWASP provee metodología de evaluación. VER PLANILLA.
Uso de herramientas Open-Source:◦ MobSF
◦ Qark
◦ Mara
Punto Net Soluciones SRL © 2016
MobSF - DEMO
MobSF es un entorno completo de análisis que permite hacer pruebas estáticas y dinámicas en ejecutables de Android (APK), iOS (IPA) y Windows Mobile (APPX).
✓ Información del archivo
✓ Información de la aplicación
✓ Posibles elementos vulnerables
✓ Naturaleza del código
✓ Análisis del código decompilado
✓ Información del certificado
✓ Listado de permisos
✓ Extras de seguridad
Punto Net Soluciones SRL © 2016
Mara Framework - DEMO
Es un marco de análisis e ingeniería inversa de aplicaciones móviles.
Es una herramienta que combina herramientas de ingeniería inversa y análisis de uso común para ayudar a probar las aplicaciones móviles contra las amenazas de seguridad móvil OWASP.
Punto Net Soluciones SRL © 2016
Mara Framework - DEMO
Ejecutar el comando .◦ /mara.sh -s <aplicacionapk>.apk
Resultados en◦ /MARA_Framework/data/APK.APK/Analysis
Punto Net Soluciones SRL © 2016
QARK - DEMO
Quick Android Review Kit
Herramienta de análisis de código estático, diseñada para reconocer posibles vulnerabilidades de seguridad y puntos de preocupación para las aplicaciones Android basadas en Java.
QARK educa a los desarrolladores.
Ejecutar el comando qark --apk <aplicacionapk>.apk
Punto Net Soluciones SRL © 2016
Links útiles
https://github.com/ashishb/android-security-awesome
https://www.owasp.org
Punto Net Soluciones SRL © 2013
Código Fuente no puede modificarseResolver con Infraestructura
Punto Net Soluciones SRL © 2016
WAF
✓ SQL injection✓ Cross site scripting✓ Common attacks such as
command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack
✓ HTTP protocol violations✓ HTTP protocol anomalies✓ Bots, crawlers, and
scanners✓ Common application
misconfigurations (e.g. Apache, IIS, etc.)
✓ HTTP Denial of Service
Azure Web Application Firewall (WAF)
OWASP ModSecurity Core Rule Set (CRS)
OWASP core rule sets
Gracias por asistir
Blog https://seguridadit.blogspot.com/
Linkedin /in/enriquedutra/
Twitter.com/egdutra
Mail [email protected]
Estamos incorporando personal para el staff de Seg. Información, si te
interesa el desafío, contactanos a [email protected]
Enrique G. DutraMVP Cloud and Datacenter Management 2018/2019MCDBA – MCSE - MCT 2013 – MCPAuditor Lider ISO/IEC 27001:2005Punto Net Soluciones SRL
[email protected]://seguridadit.blogspot.com/Tw: @egdutra @puntonetsol