Upload
pache
View
212
Download
0
Embed Size (px)
DESCRIPTION
Seguridad app de dispositivos moviles
Citation preview
Alumno: Juan Marcelo Centurin
MODULO 1:
ENUNCIADO 1
Alumno: Juan Marcelo Centurin
Modelos de seguridad aplicados en los
sistemas operativos ms recientes
MODULO 1:
Nivel de Hardware: En el nivel de hardware es importante analizar y evaluar los
elementos que componen los dispositivos que se van a utilizar, realizar un inventario
detallado de las caractersticas del procesador, la memoria, las antenas, pantallas y
dems elementos para denir los riesgos y vulnerabilidades, para establecer posibles
puntos de ataque y poder dar solucin a estos minimizando las posibilidades de
penetraciones a los equipos a travs del hardware.
Nivel de Sistema Operativo: En el nivel del sistema operativo se debe realizar el
anlisis de riesgos, vulnerabilidades y ataques, tomando como base los anlisis e
informes realizados por organizaciones que realizan las comparaciones,
evaluaciones, las compaas de antivirus y las organizaciones que trabajan en el
mejoramiento de los sistemas operativos y del desarrollo de aplicaciones mviles
seguras, las cuales proveen informacin importante para la toma de decisiones,
tambin es importante realizar procesos de anlisis y evaluacin propias con pruebas
de penetracin y testeo.
Nivel de Almacenamiento: En el nivel de almacenamiento se debe tener en cuenta
toda la informacin que se almacena en el dispositivo mvil, desde los archivos
binarios de los sistemas operativos almacenados en la memoria interna y externa del
telfono, los archivos de bases de datos, los archivos del usuario, denir procesos de
validacin, permisos, autenticacin, encriptacin de archivos, aumentar la complejidad
de la lectura de los archivos, cifrar los registros, cifrar los datos almacenados en la
memoria RAM del dispositivo y los archivos de internet manejarlos cuando son
almacenados como por ejemplo las cookies de los navegadores deben ser temporales
y no persistentes, adems de no dar permisos ni accesos a otros recursos que no sean
propios del navegador.
Nivel de Comunicacin: En el nivel de comunicacin se debe tener en cuenta todos
los procesos de comunicacin del dispositivo mvil, las antenas de comunicacin del
celular para las llamadas, las antenas WiFi, Bluetooth, NFC las cuales deben ser
utilizadas con estndares y protocolos de comunicacin seguros, adems de
implementar procesos de encriptacin para l envi de datos, en este sentido es
importante realizar pruebas de penetracin y robo de informacin con sniffers de datos
los cuales permitirn visualizar la informacin que se enva y as dar soluciones
seguras que minimizan los riesgos de ataques.
Nivel de Aplicacin: En el nivel de aplicacin se debe realizar las mejores prcticas de
programacin segura que entregan las organizaciones de seguridad en computacin,
seguir las recomendaciones de las compaas de antivirus y las compaas de anlisis
de seguridad, implementar el uso de protocolos y estndares de seguridad en la
programacin, rmar las aplicaciones, realizar procesos de pruebas completos como
pruebas de penetracin, utilizar comunicaciones seguras cuando se necesite enviar
datos o informacin, implementar procesos de validacin y certicacin de las
aplicaciones, de los usuarios y de los recursos del dispositivo, optimizar el cdigo con el
que se programa la aplicacin, tener en cuenta los problemas de seguridad de los
sistemas operativos, tener en cuenta el tipo de aplicacin si es nativa, hibrida o una
aplicacin web y por ultimo siempre estar en proceso de mejoramiento continuo y no
dar por sentado que la seguridad se encuentra al 100%, si no pensar que la aplicacin
puede ser atacada y vulnerada en cualquier momento y que debe ser mejorada
constantemente.
El modelo de seguridad por capas propone realizar seguridad a diferentes niveles, los cuales se presentara a
continuacin y se observaran en el siguiente grco.
Alumno: Juan Marcelo Centurin
MODULO 1:
MODULO DE CRIPTOGRAFA
El mdulo de criptografa es la parte del sistema operativo donde los datos
relevantes son codicados intentando que sean seguros. El mdulo incluye los
siguientes componentes importantes:
Algoritmos criptogrcos permitiendo que la informacin sea encriptada y
desencriptada. Adems soporta adems cifradores simtricos: DES, 3DES, RC2,
Rc4y RC5, y cifradores asimtricos: RSA, DSA y DH.
Funciones hash: MD5, SHA1 y HMAC
generador pseudoaleatorio de nmeros para generar claves criptogrcas
FRAMEWORK DE CRIPTOGRAFIA
El cryptographic token framework nos permite tener soporte para el hardware
extrable o temporal, como mdulos WIM. Consta de dos partes:
Un framework que permite al cdigo de aplicacin preguntar al sistema
por la validez de las implementaciones de interfaces criptogrcos
especcos y sus atributos.
La denicin de un NET de interfaces criptogrcas.
Estn denidos los siguientes interfaces criptogrcos:
Una interfaz de almacenamiento de certicados ledos, soportando
formatos X.509 y WTLS y certicados de autoridad y de usuario
un interfaces de certicados que pueden ser modicados soportando los
formatos anteriores.
una interfaz de almacenamiento de claves privadas
Una interfaz de autenticacin de objetos (por Ej. Pins)
Una interfaz Standard para programar la seguridad propia de las
operaciones del usuario.
Estn tambin incluidas las siguientes interfaces de implementacin:
o Una implementacin de la interfaz de certicados de lectura
dando acceso a
certicados WTLS usados por WAP.
o Una implementacin de la interfaz de certicados
modicables dando acceso a los certicados empleados por
todo tipo de programas
o Una implementacin que permite gestionar los certicados
almacenados
o Una implementacin de referencia para gestionar la
seguridad de operaciones del usuario.
INSTALACION DE SOFTWARE
El sistema de instalacin de software proporciona una instalacin rpida y robusta.
Las herramientas de instalacin soportan:
Instalacin, seleccin, procesamiento y eliminacin de paquetes y Java MIDP
MIDlets
Autenticacin de los componentes de software usando rma digital.
compresin de los paquetes de instalacin para reducir el riesgo de espacio en
disco y tiempos de descarga
diferentes variedades de telfono, permitiendo la instalacin de un creador de
paquetes para asegurarnos del correcto funcionamiento del software.
El subsistema de seguridad permite la condencialidad de datos, integridad y autenticacin proporcionando un
soporte subyacente para comunicaciones seguras con protocolos como TLS/SSL, WTLS y IPSec. Permite la
autenticacin del software instalable usando rma digital.
Modelos de seguridad utilizados en los
primeros sistemas operativos abiertos
Alumno: Juan Marcelo Centurin
MODULO 1:
Sistemas
Operativos
actuales
Symbian
Nivel de Sistema
Operativo:
Nivel de Hardware:
Nivel de
Almacenamiento:
Nivel de
Comunicacin:
Nivel de Aplicacin:
CRIPTOGRAFA
FRAMEWORK
DE CRIPTOGRAFIA
INSTALACION
DE SOFTWARE
Alumno: Juan Marcelo Centurin
MODULO 1:
Nivel de Sistema
Operativo:
Nivel de Hardware:
Nivel de
Almacenamiento:
Nivel de
Comunicacin:
Nivel de Aplicacin:
Android Symbian
CRIPTOGRAFA
FRAMEWORK
DE CRIPTOGRAFIA
INSTALACION
DE SOFTWARE
Ambos realizan
un anlisis
buscando
posibles amenazas
Ambos realizan
una criptografa
para almacenar los
datos en el mvil
Ambos realizan
una comprobacin
de rmas digitales
de las aplicaciones
a ser instaladas
Android y Symbian puntos comunes de seguridad
Alumno: Juan Marcelo Centurin
MODULO 1:
Firmado de aplicaciones para asegurar
la autenticidad de una aplicacin
Firmamos nuestras aplicaciones como medida de seguridad y
como requisito de garanta.
Para poder distribuir e instalar nuestra aplicacin sin problemas.
Para que de esta forma slo nosotros podamos modicar y
actualizar nuestra aplicacin.
Porque es un requisito que nos pide el Market para subir nuestras
aplicaciones.
Proceso de rmado de una aplicacin