dr. josé de jesús vázquez gómez banco de méxico jjesusvg...
TRANSCRIPT
Seguridad en dispositivos móviles
Dr. José de Jesús Vázquez GómezBanco de México
1Dr. José de Jesús Vázquez Gómez
Agenda
• Antecedentes• Dispositivos móviles• Entorno tecnológico• Usos• Competitividad• Riesgos• Recomendaciones• Conclusión
Dr. José de Jesús Vázquez Gómez 2
Antecedentes
• En los últimos 50 años el cómputo y las redes han pasado de entornos donde muchos usuarios empleaban una sola computadora central, hasta entornos donde cada usuario emplea muchas computadoras, pasando por el entorno del cómputo personal, donde cada usuario contaba con su equipo.
Dr. José de Jesús Vázquez Gómez 3
Antecedentes
• En los 80´s empezó a manejarse el concepto de una computadora por usuario, el poder de cómputo se distribuye, las redes permiten interconectar los equipos personales de la empresa entre sí y con servidores que hacen algún cómputo especializado para la organización (almacenamiento, correo, ruteo, etc.)
• La internet empieza a ser moderadamente accesible al mundo.
Dr. José de Jesús Vázquez Gómez 4
Antecedentes
• Durante la década de los 90´s, además de hacer “portables” las computadoras, surgen interfaces que permiten compartir contenidos de forma estándar y amigable. La telefonía celular es una realidad. La conectividad alcanza magnitudes insospechadas. Las computadoras de las empresas no sólo se conectan entre ellas, sino con equipos controlados por otras organizaciones.
• Se gesta la Grid.
Dr. José de Jesús Vázquez Gómez 5
Antecedentes
• El siglo XXI se ha caracterizado porque un usuario tiene acceso a muchas computadoras, en casa, auto, escuela, bolsillo, asistentes automatizados.
• Se puede hablar por teléfono, recibir mensajes de correo, transferir archivos, conectarse a servicios de diferentes organizaciones, prácticamente desde cualquier dispositivo.
• Se virtualizan los entornos de cómputo y redes.• No se puede estar desconectado en las
actividades laborales cotidianas.
Dr. José de Jesús Vázquez Gómez 6
Dr. José de Jesús Vázquez Gómez 7
Motorola DynaTAC 8000X 1983
MAIL, FTP 1971 Morris Worm CERT 1988
VoIP Vocaltec
E-commerce1995
Internet 21998
Toshiba T1100 1985
IBM PC
TCP/IP 1981
Kindle iPhone 2007iPad 2010
DARPANET 1969UCLA, UCSB, SRI, UU
802.111997
USB Flash 1996
CERN www 1991
Cloud ComputingIBM 2003
Antecedentes
Dr. José de Jesús Vázquez Gómez 8
Mobile computing: Past, present and futureBy Vasilis Koudounas [email protected] and Omar Iqbal [email protected]
Dispositivos móviles
• Laptops
• Teléfonos inteligentes
• USB flash driver
• Computadoras
• Centros de cómputo
• PDA
• Tablet
• Calculadora
• Consola de juegos portátil
• Portable media player
• Pager
• PDN (Personal navigation device)
• Marcapasos
• Etc.
Dr. José de Jesús Vázquez Gómez 9
Entorno tecnológico
• Redes, cableadas, inalámbricas, de escritorio, satelitales.
• Protocolos, 802.11, TCP/IP, WEP, WPA, SSL, EDGE, Bluetooth, etc.
• Criptosistemas, RC4, AES, RSA, DH, ECC, etc.
• Tendencias, la nube, la Grid, SaaS, Security aaS, etc.
10Dr. José de Jesús Vázquez Gómez
Uso en Banca
Dr. José de Jesús Vázquez Gómez 11
Manejo de cuentas bancarias
Uso en seguridad
Dr. José de Jesús Vázquez Gómez 12
Control remoto de seguridad física
Uso información personal
Dr. José de Jesús Vázquez Gómez 13
Uso Grid Latinoamericana
• "The LA Grid Program is a Collaborative research projects in the emerging areas of grid technology and leading industry applications for health care, life sciences and disaster mitigation."
• http://latinamericangrid.org/
Dr. José de Jesús Vázquez Gómez 14
Uso Grid del DoD
Dr. José de Jesús Vázquez Gómez 15
http://cio-nii.defense.gov/docs/GIGArchVision.pdf
16Dr. José de Jesús Vázquez Gómez
http://en.wikipedia.org/wiki/Mobile_operating_system
Uso sistemas operativos
Dell Latitude 2100 and Mobile Cart
Uso educación
Dr. José de Jesús Vázquez Gómez 17
Competitividad
Riesgos• Virus eventualmente
• Caballos de Troya
• Controles remotos
• Software no certificado
• Robo o extravío
• Acceso no restringido
• Fuga de información
• Espionaje
• Falta de administración
• Exposición física de usuarios privilegiados
• Etcétera …
Dr. José de Jesús Vázquez Gómez 19
Riesgos BlackBerry
Dr. José de Jesús Vázquez Gómez 20
Preocupación sobre la seguridad que se puede dar a los correos utilizando cualquier dispositivo móvil, particularmente, si los mensajes pueden ser interceptados o pasan por una administración fuera de la organización (RIM).
Dr. José de Jesús Vázquez Gómez 21
Riesgos Windows Mobile(y otros)
• Ambientes que permiten instalar cualquier tipo de aplicación sin restringir a aquellas que representan una posible afectación para la información almacenada en el dispositivo.
• La vulnerabilidad real es que el ser humano conozca cuándo hacer click y cuándo no.
Dr. José de Jesús Vázquez Gómez 22
http://www.zdnet.co.uk/news/mobile-devices/2010/06/08/iphone-4-demo-turns-awkward-as-wi-fi-fails-40089173/
Riesgos iPhone 4
Dr. José de Jesús Vázquez Gómez 26
Disponibilidad
Dr. José de Jesús Vázquez Gómez 27
Obtención de info en iPhone
• iPhone Spy Stick permite recuperar información almacenada en el iPhone.
• Así como recuperar alguna de la información que haya sido borrada.
http://www.mobilewhack.com/iphone-spy-stick/
28Dr. José de Jesús Vázquez Gómez
http://www.macworld.com/article/153085/2010/08/gsm_security.html29Dr. José de Jesús Vázquez Gómez
Riesgos en abuso de servicios en línea
Dr. José de Jesús Vázquez Gómez 30
Dr. José de Jesús Vázquez Gómez 31
Troyano para Android
• Tap Snake no es sólo un juego. En realidad es un software cliente de una aplicación de espionaje comercial llamada GPS Spy.
32Dr. José de Jesús Vázquez Gómez
33Dr. José de Jesús Vázquez Gómez
34Dr. José de Jesús Vázquez Gómez
35Dr. José de Jesús Vázquez Gómez
36Dr. José de Jesús Vázquez Gómez
37Dr. José de Jesús Vázquez Gómez
38Dr. José de Jesús Vázquez Gómez
39Dr. José de Jesús Vázquez Gómez
40Dr. José de Jesús Vázquez Gómez
41Dr. José de Jesús Vázquez Gómez
Riesgos en Marcapasos
• ¿Pueden los hackers controlar remotamente un marcapasos?
• Desafortunadamente, esto es posible.
http://www.scientificamerican.com/article.cfm?id=heart-stopper-med-device-hack42Dr. José de Jesús Vázquez Gómez
Riesgos en servicios “en la nube”
“ Operación Aurora”
Google reconocía en su blog oficial el mes pasado haber sido objeto de un ataque sofisticado de origen chino, afectando su infraestructura.
Los posibles daños declarados son de robo de propiedad intelectual y ataque a dos cuentas de correos de Gmail.
El posible objetivo era la obtención de información sobre activistas chinos para los derechos humanos.
http://www.hispasec.com/unaaldia/4101
Riesgos en Wireless
Dr. José de Jesús Vázquez Gómez 44
Uno de los ataques más comunes en las redes inalámbricas en el protocolo 802.11 es el de Des-autenticación.
Los usuarios de redes wireless bajo este protocolo perderían por momentos su conexión.
Riesgos en Wireless
Dr. José de Jesús Vázquez Gómez 45
El reciente exploit denominado “Hole 196” permite a un usuario interno escuchar las conversaciones wireless protegidas con lo que a la fecha se considera el protocolo más seguro que ofrece la tecnología wireless, es decir , WPA2.
Blog de Marco Ramilli
Recomendaciones1. Elegir cuidadosamente el dispositivo a utilizar
2. Encriptar datos en el dispositivo
3. Solicitar autentificación
4. Bloqueo automático después de un tiempo de inactividad.
5. Actualizarlo periódicamente.
6. Permitir el borrado remoto o por fallas en autentificación
7. Habilitar una línea para recibir informes de extravío de dispositivos
8. Establecer un control de las aplicaciones que pueden ser instaladas en los dispositivos.
9. Establecer las políticas del tráfico de datos de dispositivos remotos hacia la red de la organización.
10. Deshabilitar bluetooth cuando no se esté empleando.
11. No descartar el uso de un AV en el dispositivo móvil.
12. Capacitar al usuario
13. Colocar candados físicos siempre que sea posible.
14. Para manejo de información sensible, sólo dispositivos en entornos administrados.
Dr. José de Jesús Vázquez Gómez 46
Recomendaciones
• Las recomendaciones son las mismas que aplican a cualquier equipo de cómputo, aunque, la principal diferencia radica en que debemos proveer de mecanismos que permitan protegerlos en redes y entornos no controlados (self-security) o (ubiquitous – security).
• Por ejemplo conectarse a internet a una nube que provea el perfil y seguridad en cualquier entorno, es decir que el perfil y su seguridad sea también móvil.
Dr. José de Jesús Vázquez Gómez 47
Conclusión• Estamos viviendo un momento único en que la tecnología está
llegando a todas las sociedades de información.
• El no adoptar estas nuevas tecnologías y servicios puede hacer poco competitiva a nuestra organización, ya que tanto los clientes como proveedores están haciendo más efectivos sus procesos mediante ellas.
• Si bien los estándares adecuados para soportar el cómputo móvil están aún en proceso de definición, se percibe una tendencia a convergir hacia interfaces universales para el usuario.
• En el entorno del cómputo móvil, los proveedores de servicios de TI harán las veces de los viejos mainframes con capacidades de cómputo y telecomunicaciones enormes, y al alcance de todos.
Dr. José de Jesús Vázquez Gómez 48
Conclusión• Desde luego existen riesgos, la mayoría de ellos ya conocidos y tratables; habrá
algunos nuevos que se derivarán sobre todo de dos aspectos:
– Cómo se administran los dispositivos móviles y los servicios que en su entorno se presentan.
– La madurez en la curva de aprendizaje de los nuevos sistemas operativos, aplicaciones y concientización de los usuarios.
• Otros aspecto a resolver es cómo garantizar el deslinde de responsabilidades cuando mi proveedor de servicio está en Internet, quizás en otro país y bajo leyes diferentes a las del cliente. Dependo de él para el éxito de mi organización.
Por ejemplo, en el Senado de Estados Unidos se discute la posibilidad de otorgar poderes al presidente Obama para ordenar a los ISP la desconexión de ciertas redes críticas bajo sospecha de alguna ciber-amenaza grave. (http://www.netmedia.info/security/busca-senado-de-eu-otorgar-poderes-a-obama-para-apagar-internet)
Esto podría afectar a los que dependemos de esas redes bajo esquemas como cloud computing o la Grid.
Dr. José de Jesús Vázquez Gómez 49
Gracias
Dr. José de Jesús Vázquez GómezBanco de México
50Dr. José de Jesús Vázquez Gómez