Gestión de seguridad para dispositivos móviles en las empresas

Escuela Colombiana de Ingeniería Julio Garavito. Burgos, García, Duarte. Seguridad móviles.

1

Gestión de seguridad para dispositivos móviles en las empresas Burgos Tenorio Juan Camilo e-mail: [email protected] Duarte Vargas Cristian David e-mail: [email protected] García Cifuentes Andrés Felipe e-mail: [email protected] Escuela Colombiana de Ingeniería Julio Garavito Directora: Santiago Cely Claudia Patricia e-mail: [email protected]

Resumen— Hoy en día los dispositivos móviles se han convertido en una parte inseparable de la vida cotidiana y profesional. El uso generalizado está motivado por su flexibilidad y productividad. Por otro lado, la acelerada utilización de los mismos en asuntos empresariales ha generado una gran brecha de seguridad en las organizaciones, esto sumado a las vulnerabilidades y amenazas de los sistemas móviles y la poca conciencia de los empleados frente a esto. Por ello se realizaron pruebas de infiltración e infección en sistemas Android dentro de un ambiente controlado, con el propósito de reconocerlas y luego dar solución a las mismas.

Índice de Términos— Android, Bring your own device, Malware, Seguridad dispositivos móviles. I.INTRODUCCIÓN La consumerización de las TI está rápidamente haciéndose realidad en muchas organizaciones. La propagación de dispositivos inteligentes ha aumentado considerablemente en los últimos años y el uso de estos productos de consumo personal en redes empresariales es prácticamente un hecho. De acuerdo con un estudio reciente, el 90% de las organizaciones que fueron encuestadas permiten, en cierta medida, el uso de tecnología de propiedad personal en el lugar de trabajo, generando principios de BYOD (traiga su propio dispositivo) [1]. Seguros de los nuevos conocimientos que tienen en relación con las redes, los empleados están más incentivados que nunca y crean, como consecuencia, un desorden en las redes. Ya es usual recorrer casi cualquier oficina y encontramos por todas partes: tablets y

teléfonos celulares de última tecnología que los empleados han traído desde sus casas y con los cuales trabajan en sus empresas manipulando información y a veces realizando transacciones de la compañía en sus móviles. Los empleados y los departamentos están adquiriendo autosuficiencia para satisfacer sus necesidades de tecnología. Esta tendencia supone nuevos retos para el personal de sistemas que se vieron en la obligación de proteger la confidencialidad y seguridad de la información de la empresa como de estos nuevos equipos; con la misma plataforma de seguridad que protege todas las transacciones. Con la proliferación y llegada de nuevos dispositivos, aplicaciones y sistemas operativos, los departamentos de TI se enfrentan a enormes desafíos para prestar el servicio al usuario final. Los departamentos de TI necesitan desarrollar políticas que les permitan entregar y asegurar sus infraestructuras corporativas y la información de la misma. En la búsqueda por lograr asegurar los dispositivos móviles se han encontrado diversas amenazas del sistema operativo Android así como también de una serie de políticas que los usuarios desconocen, las cuales disminuyen el riesgo y ayudan a proteger sus dispositivos de agentes externos que puedan afectar la confidencialidad, integridad y disponibilidad de la información que allí reside. Es por eso que a partir de estas amenazas presentes se logró vulnerar el sistema y poder acceder a información del dispositivo; se logró borrar

Escuela Colombiana de Ingeniería Julio Garavito. Burgos, García, Duarte. Seguridad móviles.

2

información, obtener claves de cuentas de correo y con diferentes técnicas, instalar malware en el dispositivo para tener un control total del mismo, todo esto bajo un ambiente controlado. Conforme se fueron realizando las pruebas se generaron estrategias de protección, desde establecer una contraseña de acceso hasta procedimientos más sofisticados como poder realizar un backup periódico realizando previamente un cifrado de los datos contenidos en el dispositivo. II.

TENDENCIA BRYNG YOUR OWN DEVICE Figura 1: Uso dispositivos móviles en las empresas [4]

Bring your Own Device (BYOD), en castellano "trae tu propio dispositivo", es una política empresarial donde los empleados llevan sus propios dispositivos a su lugar de trabajo para tener acceso a recursos de la empresa tales como correos electrónicos, bases de datos y archivos en servidores así como datos y aplicaciones personales. También se le conoce como "Bring your own technology" o trae tu propia tecnología en castellano, ya que de esta manera se expresa un fenómeno mucho más amplio que no sólo cubre al equipo sino que también incluye al software.[2] El acrónimo BYOD, Bring Your Own Device (trae tu propio dispositivo) proviene del más conocido BYOB, Bring Your Own Bottle, que algunos restaurantes y locales empezaron a implantar en los años 70: permitían a los clientes llevar su propia botella de vino, y les cobraban únicamente un corking fee por descorcharla. Desde ahí, el acrónimo se hizo muy popular en la organización de fiestas de todo tipo: acude a la fiesta, y llévate una botella de lo que quieras beber, donde la “B” final se convierte muchas veces en Beer, Booze o simplemente Beverage. [3]

III.

SEGURIDAD EN DISPOSITIVOS ANDROID

La plataforma móvil de Google, Android, se encuentra en el mercado desde septiembre del 2008 y a partir de ese momento ha tenido gran crecimiento, llegando hoy en día a ser la plataforma móvil más usada en los teléfonos inteligentes [5]. En la actualidad, es una de las plataformas para la cual más códigos maliciosos están apareciendo, es la más usada por lo tanto es el foco para que los cyberdelincuentes los realicen y tengan un mayor porcentaje de éxito, logrando explotar ciertas características presentes en la arquitectura del sistema y sus repositorios de aplicaciones. El 2013 fue el año que más amenazas presentó para esta plataforma.

Figura 2: Crecimiento Malware en Android [6]

Este sistema operativo está centrado en un núcleo basado en Linux para los servicios base. El mismo,

Escuela Colombiana de Ingeniería Julio Garavito. Burgos, García, Duarte. Seguridad móviles.

trabaja sobre capas de abstracción entre el hardware y el software. Por sobre la capa que ofrece el kernel (núcleo) del sistema, se encuentran librerías desarrolladas en C/C++ que permiten el manejo de gráficos y otras funcionalidades, como las bases de datos SQLite. También se encuentra el Runtime de Android formado por un conjunto de bibliotecas base desarrolladas en Java y en dónde por cada aplicación que se encuentre se ejecuta un proceso separado dentro de la máquina virtual de Dalvik. [7] Por lo general, el software malicioso se propaga a través de los delincuentes quienes crean aplicaciones y las publican en el Google Play o en repositorios de aplicaciones no oficiales, lo cual no permite garantizar que la aplicación no contiene código que afecte la seguridad de los datos. IV.

3

Asegurar que el acceso al dispositivo está bloqueado o los datos se eliminan automáticamente si una contraseña incorrecta se introduce demasiado Muchas veces. Poner aplicaciones en listas blancas y negras es una técnica que ayuda a mantener la seguridad y la integridad de los recursos de TI de la empresa (por no hablar del propio teléfono). Si su organización toma este enfoque, la política BYOD debe explicar que TI tiene la autoridad para prohibir el uso de ciertas aplicaciones. La configuración general del software del teléfono es una variable clave en las operaciones exitosas de TI móvil, por lo que la política BYOD también debe cubrir el uso de antivirus, otras aplicaciones de seguridad y la configuración del firewall.

POLÍTICAS DE SEGURIDAD PARA DISPOSITIVOS MÓVILES V. ANÁLISIS DE AMENAZAS Y VULNERABILIDADES

A.

Uso aceptable

En primer lugar, es vital especificar a qué funciones puede tener acceso un determinado usuario, y qué comportamientos generales son aceptables. Es importante proteger a la organización de los usuarios que pueden tener, por ejemplo, materiales ilícitos en sus dispositivos, o información que pueda ser propiedad de otra empresa. B.

Administración de dispositivos móviles

El software de administración de dispositivos móviles (MDM) permite a TI configurar, asegurar, monitorear y borrar los teléfonos inteligentes y tabletas. MDM es una tecnología que evoluciona rápidamente, con pocos estándares o incluso una definición aceptada en general, pero TI debe familiarizarse con la amplia gama de herramientas y servicios que hay actualmente en el mercado. C.

Aplicaciones y seguridad

Utilizar una contraseña segura para proteger sus dispositivos. Utilizar el cifrado para almacenar datos en el dispositivo de forma segura.

Se realizó un análisis del modelo de seguridad de la plataforma Android, para luego analizar su eficacia contra las principales amenazas de hoy en día; sumando a esto las políticas de seguridad de la información que trae la tendencia del BYOD y se logró establecer un marco de trabajo para las empresas para segmentar y establecer focos de seguridad críticos para las organizaciones. A.

Dispositivo móvil y seguridad de los datos.

Se cubrirán las amenazas más importantes existentes sobre el "Dispositivo móvil y la seguridad de los datos" y también proveerá los métodos de defensa correspondientes a esas amenazas. Seguridad de dispositivos móviles se refiere a la seguridad física del dispositivo móvil, es decir, la seguridad del dispositivo cuando se produzca la pérdida del dispositivo móvil. Existen muchas aplicaciones de anti-pérdida. Sus funciones incluyen la limpieza de datos del dispositivo perdido, localización GPS del dispositivo perdido y el bloqueo del dispositivo perdido.

Escuela Colombiana de Ingeniería Julio Garavito. Burgos, García, Duarte. Seguridad móviles.

Seguridad de datos móviles se entiende por la seguridad de los datos almacenados en el dispositivo móvil, se refiere al acceso a los recursos móviles no autorizados. El acceso a los recursos no autorizados es principalmente a los datos de comunicación entres las aplicaciones o la seguridad de los datos privados del usuario, por ejemplo: los datos de localización del usuario. B.

Seguridad de Aplicaciones Móviles

Para este análisis se utilizó modelo de "Amenaza y Defensa " para ilustrar algunas amenazas típicas de las aplicaciones móviles. También se proporcionan los métodos de defensa que corresponden a estas amenazas. Existen principalmente tres tipos de amenazas que una aplicación móvil puede tener: el malware móvil, software móvil y las vulnerabilidades relacionadas con bugs del desarrollo de la aplicación. El malware para móviles son aplicaciones que se hacen pasar por aplicaciones “buenas”, pero en realidad utilizan a la víctima para obtener beneficios, la mayoría de veces, económicos. El Software espía son aplicaciones que también se hacen pasar por aplicaciones “buenas”, pero en realidad se encargan de robar y enviar datos privados de la víctima como: lista de contactos, correos electrónicos, SMS, información de localización, etc. Vulnerabilidades de código móviles se refiere a la programación segura para aplicaciones móviles. Bajo la plataforma Android, las vulnerabilidades de codificación constan de vulnerabilidades de Activity, BroadCast, Intent, y así sucesivamente. La realización de las técnicas de programación segura puede minimizar este tipo de amenazas. [8] VI.

A.

4

Acceso al dispositivo bloqueado

En este procedimiento se logró acceder a un dispositivo Android que se encontraba bloqueado con contraseña. Se encontró la vulnerabilidad, que por defecto viene activada la depuración USB en los dispositivos Android; con esto el dispositivo se conecta el dispositivo por medio de usb a un PC, y por medio de Android Debugging Bridge [9] se logra extraer datos del móvil, información personal, cuentas y correos que se encontraban alojados en el mismo, esto atenta contra la confidencialidad de la información.

Figura 3: Diagrama ataque realizado

B.

Puerta trasera

En este punto se realizó la conexión a un dispositivo móvil que se encontraba bloqueado por medio de USB, desde el equipo PC con la herramienta Adb y aprovechando privilegios de administrador se habilita un puerto corriendo el servicio adb, con lo cual al desconectar el dispositivo del PC, el dispositivo queda con un puerto abierto y corriendo el servicio adb.

RESULTADOS

Dentro de la investigación que se realizó y respaldados por las vulnerabilidades encontradas se hicieron ataques controlados a dispositivos móviles Android, dando resultados desfavorables frente a la seguridad de las compañías. Señalamos éstas como las que más atentan y ponen en riesgo la seguridad de la compañía.

Figura 4: Puerta trasera

Por medio de un equipo cliente conectado a la misma red del dispositivo, se logra acceder por el puerto y el servicio indicado, sin ningún tipo de autenticación ni restricción ya que no tiene ningún firewall que impida, el acceso que se obtiene es de

Escuela Colombiana de Ingeniería Julio Garavito. Burgos, García, Duarte. Seguridad móviles.

administrador por lo cual es posible realizar instalación de aplicaciones, extracción de información, se logra un acceso similar al que se tendría en un equipo Linux como usuario root.

C.

Bootnet Android

APK, es la extensión de las aplicaciones de Android. En esta prueba se realiza una aplicación Android, después de esto se infecta el archivo generado, este archivo se instala en el dispositivo y automáticamente el dispositivo hará una conexión con el servidor Controlador, el cual tendrá un aviso de una nueva conexión. Este “Controlador” tiene acceso a todas las funcionalidades del dispositivo, puede activar la cámara, tomar fotos, grabar audio, incluso puede instalar, desinstalar aplicaciones del dispositivo móvil.

5

cifrado de datos, backup periódico y borrado remoto se implementaron, trayendo seguridad y confidencialidad a los datos almacenados en el dispositivo, garantizando el aislamiento de los datos personales y los empresariales. Éste software comúnmente es llamado Mobile Device Management (MDM), un MDM puede variar según su conjunto de funcionalidades, en nuestro trabajo se centró en 3 grandes funcionalidades ya mencionadas anteriormente sin contar fases importantes en el desarrollo como la autenticación y la integración móvil - servidor para que las instrucciones remotas se efectúen. Entrando más en la parte técnica y arquitectónica del MDM, éste se desarrolló basado en la arquitectura de Google Cloud Messaging (GCM), GCM es un servicio gratuito que permite enviar datos del servidor a los dispositivos Android que se encuentren asociados a él, estos se encuentran registrados en el servidor con un ID de registro que asigna GCM al móvil de esta manera proporcionamos un canal de comunicación segura, la arquitectura de GCM básicamente funciona como se muestra en la figura 6.

Figura 5: Captura de Bootnet

En la figura 5 se logra apreciar como desde el Controlador por medio de un comando logra activar la cámara y tomar una fotografía, esto sucede sin que el dueño del dispositivo se entere de lo que sucede.

VII. MDM Para contrarrestar estas problemáticas, se realizó un software que permite gestionar los dispositivos móviles en las empresas, 3 puntos clave como el

Figura 6: Arquitectura MDM

El servidor encargado de enviar instrucciones remotas a los dispositivos fue implementado en Java al igual que la aplicación para el móvil ya que es el lenguaje de desarrollo nativo de Android. VIII.

CONCLUSIONES

Las nuevas tecnologías móviles han revolucionado la manera de trabajar en las empresas de hoy en día,

Escuela Colombiana de Ingeniería Julio Garavito. Burgos, García, Duarte. Seguridad móviles.

aumentando agilidad y eficacia en algunos procesos, generando comodidad y flexibilidad al usuario pero alertando a las organizaciones para que se lleve un control adecuado de dichas tendencias tecnológicas. Se debe capacitar al usuario para que sea consiente, que su información laboral y personal puede ser expuesta y ser mal utilizada por terceros, ya que esto podría generar fuga de información y generar pérdidas a la organización, es de saber que el empleado es el eslabón principal, en este sentido es necesario que desde la presidencia, pasando por tecnología y todas las áreas de la empresa, se motive al buen uso de los dispositivos móviles, para que así se logre minimizar el riesgo de pérdida, esto acompañado con políticas de uso del dispositivo.

http://commons.wikimedia.org/wiki/File:Consumerization_Report__Chart_2.jpg [5] Gartner. Gartner Says Worldwide Tablet Sales Grew 68 Percent in 2013, With Android Capturing 62 Percent of the Market. [Online]. HYPERLINK "http://www.gartner.com/newsroom/id/2674215" http://www.gartner.com/newsroom/id/2674215 [6] Symantec, "Mobile Adware and Malware Analysis," 2013. [7] ESET Latinoamérica, "Malware en dispositivos móviles," Buenos Aires, 2012. [8] National Science Foundation. Mobile Security Labware. [Online]. HYPERLINK "https://sites.google.com/site/mobilesecuritylabware/home" https://sites.google.com/site/mobilesecuritylabware/home [9] Google inc. Android Debug Bridge. [Online]. HYPERLINK "http://developer.android.com/tools/help/adb.html" http://developer.android.com/tools/help/adb.html

Tener una solución de software que permita la gestión de los dispositivos (MDM) , estableciendo funcionalidades como cifrado, bloqueo con contraseña obligatorio, firewall, antivirus, backup periódico; asegurar el que dispositivo al momento de entrar a la compañía cumpla con los requisitos mínimos de seguridad es vital para tener seguridad de inicio a fin, temas como el monitoreo continuo, la usabilidad de la aplicación cliente, son prioridad ya que dan al empleado comodidad y tranquilidad al momento de ingresar al MDM.

IX.

6

BIBLIOGRAFÍA

[1] FlukeNetworks. (2014, Mar.) FlukeNetworks. [Online]. HYPERLINK "http://es.flukenetworks.com/content/managing-byod-andconsumerization-it" http://es.flukenetworks.com/content/managing-byod-andconsumerization-it [2] Wikipedía. Wikipedía. [Online]. HYPERLINK "http://es.wikipedia.org/wiki/BYOD" http://es.wikipedia.org/wiki/BYOD [3] Enrique Dans. (2013, Aug.) El blog de Enrique Dans. [Online]. HYPERLINK "http://www.enriquedans.com/2012/01/byod-einformatica-corporativa.html" http://www.enriquedans.com/2012/01/byod-e-informaticacorporativa.html [4] (2011, Junio) Wikimedia Commons. [Online]. HYPERLINK "http://commons.wikimedia.org/wiki/File:Consumerization_Report__Chart_2.jpg"