PublicaTIC

Máster Universitario en Ingeniería Informática

image_pdfimage_print

Controles de auditoría en los pagos móviles

by Leave a Comment

En el artículo anterior indicamos los riesgos que se producen al utilizar el dispositivo móvil para comprar por medio de internet. ¿Cómo podríamos prever esos riesgos? La respuesta se impondrá en este artículo en el cual se mostrará lo diferentes controles de auditoría que se deberán hacer.

Auditoria de pagos móviles

Para que la seguridad sea adecuada se dividen las diferentes partes que componen una aplicación de pagos móviles las cuales se muestran en la imagen[1]:

Captura

Cada uno de los componentes tienen sus controles y pruebas que se le hacen para prever la pérdida de la información, el acceso a persona no autorizadas y la pérdida de datos. En estas tablas se indica tanto donde se debe realizar el control como que tipo de prueba deberemos llevar a cabo.

Dispositivos móviles

Zona de riesgo

Prueba de control
Prever que cuando el dispositivo esté suspendido se evite la extracción de datos ¿El dispositivo móvil utiliza AES?

Para prever la extracción de datos el dispositivo móvil debe estar configurado para realizar un cifrado avanzado AES(Advanced Encryption Standard).
La transmisión de datos debe estar cifrada

¿El cifrado se realiza mediante SSL(Secure Sockets Layer)? ¿Se usa HTTPS para el acceso a la web (Hypertext Transfer Protocol Secure)? ¿Se hace uso de FTPS (Comúnmente referido como FTP/SSL)para la transferencia de archivos? ¿Se usa TLS(Transport Layer Security)para los protocolos de seguridad?
La app limita el acceso la configuración apropiadamente

¿Se hace uso de un gestor de aplicaciones móviles MAM(Mobile Application Management) para administrar los accesos?

Un ejemplo de MAM podrían ser MobileIron, Airwatch.
El código de la aplicación está protegido contra un intruso a través de protecciones binarias

¿La aplicación permite modificar el código?

La aplicación debe estar configurar para limitar el acceso y la configuración adecuada para el uso limitado. Gestión de aplicaciones móviles MAM se utiliza para administrar acceso y despliegue de la aplicación.

Red

Zona de riesgo

Prueba de control
El cifrado del Wifi esta activada

¿La transmisión se realiza por medio de SSL o TLS(Transport Layer Security) para que la transmisión sea segura?

La transmisión se realiza por medio de SSL(Secure Sockets Layer) o TLS(Transport Layer Security) ambos protocolos cifrados para que la transmisión sea segura.

Nombre del dominio sistema(DNS) realizando Spoofing.

El DNS está protegido para evitar
reencaminamiento de datos a otro
Dirección de Protocolo de Internet (IP).

 

¿Se utiliza la configuración adecuada para el filtrado de paquetes?

Se utiliza la configuración adecuada para el filtrado de paquetes utilizando TLS(Transport Layer Security), SSH y HTTPS(Hypertext Transfer Protocol Secure) debe estar habilitado,para, verificar la dirección de origen y bloquear paquetes con dirección conflictiva.
Perdida de datos de logueo debido a una conexión insegura.

¿Las conexiones de la URL son a través de HTTPS?

Las conexiones de las URL (Uniform Resource Locator ) a través de la TLS son a través de HTTPS en lugar de HTTP para asegurarse conectarse a una URL

Servidor web

Zona de riesgo

Prueba de control
Roles y responsabilidades para la propiedad ha sido establecida ¿Hay diferentes roles para los usuarios del servidor web?

Los roles están correspondientemente definidos y cada uno de los roles con los accesos específicos.
Denegación de DoS( Disk Operating System) bloquear el acceso a los programas.

¿Se hace uso de protocolos de bloqueo y captchas para evitar ataques de DoS realizados por máquinas?

Usar protocolos de bloqueo y CAPTCHAS para que diferencie máquinas de humanos.

 
Identificar y actualizar la aplicación para aumentar los parches de seguridad

¿Se ha encontrado una vulnerabilidad nueva?

¿Se ha generado la actualización para hacer frente a esta vulnerabilidad?

Si se encuentra alguna nueva vulnerabilidad se debe gestionar un nuevo parche para solucionar esa falla de seguridad.

 Base de datos

Zona de riesgo

Prueba de control
El acceso de alto nivel a las bases de datos

¿Los usuarios que tratan con la base de datos tiene diferentes roles?

Asegurarse que tipo de acceso se tiene a la base de datos para cada persona. Todo esto se realizará por medio de cuentas y contraseñas
Consulta estructurada de la Base de datos

¿Se cumplen las reglas de sintaxis en la base de datos?

Para cada tipo de sintaxis habrá unas reglas plenamente definidas con su respectiva valoración.

 
Los datos provenientes del móvil deben ser revisados antes de enviarlos a la base de datos

¿Los datos de la aplicación móviles están protegidos contra ataques mediante verificaciones lógicas?

Los datos provenientes de la aplicación móvil deben estar protegidas a través de verificaciones lógicas dentro de la aplicación.

Gestor de aplicaciónes

Zona de riesgo

Prueba de control
El código fuente de la aplicación tiene correcto funcionamiento

¿La aplicación cuenta con la firma de la empresa desarrolladora?

La aplicación utiliza el certificado de empresa desarrolladora además de su firma.
La información existe para mitigar el riesgo o la perdida de dispositivos comprometidos

¿Se hace uso de un MAN para facilitar la limpieza remota?

Empleados de la empresa que hacen uso del control remoto de software de gestión móvil, como mobileIron para facilitar la limpieza remota
Las actuaciones de la tienda de aplicaciones so las correctas utilizando un ciclo de vida

¿La aplicación específica en la tienda la actualización que ha tenido y las modificaciones que se han realizado?

Se le especifica a la tienda de aplicaciones las actualizaciones y modificaciones que se harán en la aplicación

En conclusión, los auditores TI deberán trabajar en la organización de responsables de la aplicación. Los auditores deben crear un proceso de vigilancia que determine un mínimo de controles de seguridad para que las aplicaciones puedan funcionar en una zona con amenazas. Además de este tipo de pruebas también se deberían hacer las pruebas de penetración cada vez que la aplicación móvil vaya a ser actualizada.

MobileIron

MobileIron-logo-stacked

Es una empresa que se encarga de gestionar y administrar las aplicaciones para dispositivos inteligentes de forma segura y ahorrando costes. MobileIron hace uso de una plataforma virtual propia, donde se encuentran todas las aplicaciones móviles y se pueden descargar Mediante el uso de la plataforma se reducen los errores por ello se reducen los costes económicos, se aumenta la productividad y aumenta la prevención de riesgos [2].

 

Biografía

[1] “Journal volume 4 2016 spanish Issues https://www.isaca.org/Journal/archives/2016/volume-4/Documents/Journal-volume-4-2016-Spanish.pdf , (Consultado el 21/11/17).

[2] “MobileIron, aplicaciones para móviles en la nubehttp://empresayeconomia.republica.com/newsletter/mobileiron-aplicaciones-para-moviles-en-la-nube.html  , (Consultado el 21/11/17).

 

 

Factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos

by 2 Comments

Con la continua evolución tecnológica, especialmente en el ámbito empresarial, la auditoría del TI y los profesionales de seguridad deben adaptarse al escenario de las amenazas cambiante creado por las aplicaciones móviles adelantándose al riesgo. Para ello deben poner controles apropiados y probar las aplicaciones móviles desde su concepción hasta su lanzamiento. Es por ello que he seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y esta vez he investigado acerca de los factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos. En este Post he utilizado como fuente un artículo de una revista llamada ISACA Journal: mobile apps.

Los riesgos en las aplicaciones móviles se pueden dividir en cuatro categorías:

Cuatro categorías.

Riesgos y controles en la categoría de Dispositivos móviles:

  1. Almacenamiento de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de los datos en reposo en el dispositivo móvil se establece en el Estándar de Cifrado Avanzado (Advanced Encryption Standard: AES) de 128, 192 o 256. Mediante este control los datos se almacenan de forma segura para evitar la extracción maliciosa de la aplicación cuando los datos están en reposo.
  2. Transmisión de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de datos se aplica para los datos en transmisión a través de la Capa de Puertos Seguros (Secure Sockets Layer: SSL) y fuertes protocolos de seguridad tales como:
      • Acceso Web – HTTPS vs. HTTP
      • Transferencia de archivos – FTPS, SFTP, SCP, WebDAV sobre HTTPS vs. FTP, RCP
      • Protocolos de seguridad – Seguridad en la Capa de Transporte (Transport Layer Security: TLS)

Mediante este control la transmisión datos de la aplicación móvil está cifrada cuando no se dispone de datos en reposo.

IMPORTANTE: Estos dos primeros riesgos tratan sobre la pérdida y la divulgación de datos, tema que hace referencia a la DLP y a la gestión de contenido móvil (MCM).

  1. Aplicación de gestión de acceso y seguridad:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La gestión de aplicaciones móviles (MAM) se utiliza para gestionar el acceso y el despliegue de la aplicación. Además, se mantienen unas adecuadas listas blancas y listas negras. Mediante este control la aplicación está configurada para limitar el acceso y configurada adecuadamente para uso autorizado limitado.
  2. Llevar dispositivos móviles fuera del perímetro empresarial:
    • Riesgo: Pérdida o robo del dispositivo móvil, haciendo posible el acceso no autorizado a las aplicaciones móviles del dispositivo y al fraude de los datos de éstas.
    • Control: (MAM) *Leer el control 3.2 de esta categoría.

Riesgos y controles en la categoría de Red:

  1. Conectividad inalámbrica:
    • Riesgo: Pérdida y divulgación de datos (DLP & MCM).
    • Control: La transmisión de datos utiliza, como mínimo, SSL o TLS. Ambos protocolos criptográficos para la transmisión segura de datos. Mediante este control el cifrado se aplica cuando se activa la conexión Wi-Fi.
  2. Secuestro de sesión (Session hijacking):
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Los protocolos de conexión para el Localizador Uniforme de Recursos (Uniform Resource Locator: URL) a través de TLS son a través de HTTPS en lugar de HTTP para conectarse de forma segura a una URL. Mediante este control se evita el secuestro de una sesión debido a un protocolo de conexión inseguro.

Riesgos y controles en la categoría de Servidor web:

  1. Gestión de acceso:
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Todos los servidores web aplicables se asignan a los propietarios de sistemas técnicos y empresariales. Los roles y responsabilidades definidos son adecuados, especialmente para el personal interno y de terceros. Mediante este control los roles y responsabilidades de la propiedad son establecidos, documentados y comunicados.
  2. Ataque de fuerza bruta:
    • Riesgo: Acceso no autorizado y fraude, disponibilidad de la aplicación.
    • Control: Los protocolos de bloqueo están habilitados para cuentas con varios intentos de contraseña incorrectos. Se recomienda la utilización de CAPTCHA (programa que distingue entre seres humanos y ordenadores) para evitar DoS (Denegación de Servicio). Mediante este control la gestión de la estrategia de DoS abarca programas adecuados para bloquear los protocolos no autorizados.

Riesgos y controles en la categoría de Base de datos:

  1. Acceso privilegiado:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El acceso a la BD está limitado a las personas apropiadas, y las revisiones de acceso adecuadas y las cuentas del sistema documentadas se mantienen archivadas. Todas las cuentas y contraseñas predeterminadas se deshabilitan al aplicar controles de contraseña estrictos. Mediante este control el acceso elevado a las BBDD se asegura adecuadamente utilizando las mejores prácticas.
  2. Inyección SQL (SQL injection):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: Se da lugar a la técnica de validación de entrada; existen reglas específicamente definidas para el tipo y la sintaxis contra las reglas clave de negocio. Mediante este control el acceso a la BD del Back-end está protegido adecuadamente de vulnerabilidades utilizando técnicas de validación de entrada apropiadas.
  3. Validación de la entrada de la aplicación (cliente):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La limpieza de los datos de usuario de la aplicación procedentes de la aplicación móvil se protege adecuadamente mediante comprobaciones de lógica incorporada dentro de la aplicación. La correcta implementación de las comprobaciones lógicas está habilitada en el lado del servidor. Mediante este control los datos procedentes de aplicaciones móviles son examinados antes de confiar en ellos para extraerlos o enviarlos a la capa de BD.
  4. Servicios de BD de aplicaciones.
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El servidor de BD se prueba adecuadamente y se protege contra ataques maliciosos. Los formularios de inicio de sesión requieren HTTPS. Las conexiones SSL son obligatorias.

¿Y el último post?:

No se han tratado amenazas como el Phishing. Puesto que considero que es fundamental tener ciernas nociones de esta amenaza, mi último post, tratará sobre ésta.

Referencia:

Revista de ISACA:

J. Khan, Mohammed «Mobile App Security Audit Framework», ISACA Journal: mobile apps, nº 4 (2016): 14-17.

Gestión de aplicaciones móviles

by 6 Comments

He seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y esta vez he investigado acerca de la gestión de aplicaciones móviles (MAM) y de una herramienta llamada XenMobile, la cual tiene como función proporcionar gestión de dispositivos móviles (MDM), gestión de aplicaciones móviles (MAM) y gestión de contenido móvil (MCM).

EMM

MAM, MDM y MCM son tres tipos de software, los cuales forman la gestión de movilidad empresarial (EMM). Pero en vez de centrarme en EMM y tratar los tres tipos de software por igual, he preferido tratar solo MAM, puesto que es, con diferencia, la más importante y porque también permite tratar el conjunto software de MDM y de MCM.

¿Qué es MAM?:

Para saber que es MAM he consultado un documento de IEEE Xplore cuyo título es Power-Aware Mobile Application Management y según este documento la gestión de aplicaciones móviles (MAM) describe el software responsable de aprovisionar y controlar el acceso a aplicaciones móviles. Esta funcionalidad permite a los administradores de TI instalar remotamente, actualizar y eliminar aplicaciones móviles, las cuales podrían ser MEAs de la propia empresa. Además, con un software de MAM, los administradores pueden deshabilitar remotamente las aplicaciones móviles que se sabe que alojan software malicioso (malware).

La idea general es que utilizando MAM, una empresa puede bloquear, controlar y proteger todas sus MEAs de una forma más óptima y agradable, y en una organización de más de cien empleados la implementación de un software de MAM puede ser de gran importancia. Una vez que la empresa supera este tamaño, la administración de aplicaciones móviles puede convertirse en un trabajo de tiempo completo para los administradores de TI. Sin embargo, existen tres desafíos a los que el administrador de TI tendría que enfrentarse:

  • Soporte de plataformas y dispositivos móviles. En la actualidad existen infinidad de plataformas móviles (por ejemplo, Android, iOS, BlackBerry, Mac OS, Symbian y Windows Phone), es por eso que los administradores de TI deben buscar una manera de hacer posible el uso de las aplicaciones móviles en cualquier plataforma móvil. Por otro lado, también existe una gran variedad de dispositivos móviles (por ejemplo, Tablets, netbooks, portátiles, teléfonos inteligentes y phablets), por lo que es fundamental que el administrador de TI proporcione un software que permita asegurar, monitorear y administrar dispositivos móviles sin importar el operador de telefonía o proveedor de servicios, también conocido como un software de gestión de dispositivos móviles (MDM).
  • Impacto mínimo en la energía de la batería de los dispositivos móviles. La mayor queja cuando se trata de dispositivos móviles es que sus vidas de la batería han ido disminuyendo mucho en los últimos años. MAM reduce aún más la vida operacional de los dispositivos móviles porque los dispositivos agotan sus baterías cada vez que necesitan instalar, actualizar o eliminar aplicaciones móviles. Por lo tanto, los administradores de TI deben tratar de minimizar el impacto de MAM en la energía de la batería.
  • Control del almacenamiento y transmisión de los datos. Es decir, que los datos estén seguros de extracciones maliciosas cuando estén almacenados y que estén encriptados cuando estén siendo transferidos. Este desafío se refiere a la DLP (Date Loss Prevention) y a la gestión de contenido móvil (MCM).

A medida que la tendencia bring-your-own-device (BYOD) sigue creciendo, estos desafíos se vuelven aún más complicados debido a que los dispositivos móviles están proliferando en la empresa a un ritmo exponencial, y esto afecta muchísimo a la gestión de aplicaciones móviles (MAM), a la gestión de dispositivos móviles (MDM) y a la gestión de contenido móvil (MCM). Otra importante tendencia tecnológica que también afecta al software de MDM es el despliegue continuo en nubes de Infraestructura como Servicio (IaaS) para una gestión más rápida y rentable de dispositivos móviles.

Hasta aquí se puede apreciar que los software de MAM tienen gran importancia en el Mundo Móvil, a pesar de que existen tendencias que hacen que este tipo de software se vea afectado negativamente, puesto que este tipo de software ayuda a bloquear, controlar y proteger todas las MEAs de una organización.

¿Y qué herramientas existen para gestionar aplicaciones móviles? Existen aplicaciones como Microsoft Intune, Appaloosa o Kaseya, entre otras. Yo he investigado sobre XenMobile.

XenMobile:

Citrix XenMobile

En el año 2013, una empresa llamada Citrix lanzó la herramienta XenMobile MDM, que fue fruto de la compra de Zenprise. En el momento de su lanzamiento, XenMobile MDM solo era un software de gestión de dispositivos móviles (MDM) que otorgó a los usuarios la posibilidad de escoger el dispositivo que querían utilizar mientras que permitió a la empresa hacer frente a sus necesidades de gestión y cumplimiento.

Con el paso del tiempo Citrix fue incorporando software de gestión de aplicaciones móviles (MAM) y software de gestión de contenido móvil (MCM) a la herramienta, transformándola así en un software de gestión de movilidad empresarial (EMM), con lo que XenMobile MDM, pasó a llamarse XenMobile a secas.

Para finalizar, facilito un vídeo que explica que es, en la actualidad, XenMobile:

Referencias:

IEEE Xplore:

Arne Koschel, Carsten Kleiner e Irina Astrova, «Power-Aware Mobile Application Management», Information Society (i-Society), nº 1 (2014): 251-258.

Otros:

«UNDERSTANDING HOW YOUR EXISTING “MDM” SOLUTION CAN HELP YOU DISTRIBUTE, CONTROL AND SECURELY CONNECT YOUR MOBILE APPLICATIONS», MSC, acceso el 4 de noviembre de 2016,
http://www.mscmobility.com.au/mobility-news/mobile-application-management.

«MDM, MAM und MCM – Was bedeuten diese Begriffe?», MOBILITYADMIN, acceso el 4 de noviembre de 2016,
http://www.mobilityadmin.de/mobile-device-management/mdm-mam-und-mcm-was-bedeuten-diese-begriffe.

«Citrix lanza XenMobile, una solución MDM», ChannelBiz, acceso el 4 de noviembre de 2016,
http://www.channelbiz.es/2013/02/21/citrix-lanza-xenmobile-una-solucion-mdm/.

«XenMobile», Citrix, acceso el 4 de noviembre de 2016,
https://www.citrix.es/products/xenmobile/.

Escudo Universidad de deusto