Mobile ha surgido como una de las herramientas de negocio más flexibles y más frecuentes disponibles. Desde el correo electrónico hasta el calendario de aplicaciones de negocios, los empleados están, literalmente, haciendo negocios desde cualquier dispositivo, en cualquier momento del día o de la noche, desde cualquier lugar y en todas partes del planeta. La funcionalidad móvil ha evolucionado de una conveniencia a una necesidad, de un lujo a un componente necesario y crítico del entorno empresarial.
Como el móvil ha aumentado su utilidad comercial, también se ha convertido en una de las áreas más difíciles de salvaguardar. No sólo traer su propio dispositivo (BYOD) se ha convertido en la norma en muchas empresas, trayendo una serie de dispositivos dispares al lugar de trabajo, pero el aumento en la sofisticación de los dispositivos móviles y las aplicaciones que residen en esos dispositivos significa una gama más amplia de retos de seguridad y aseguramiento de los que nunca antes había sido el caso. Por supuesto, es cierto que tanto las organizaciones como los profesionales se están volviendo más sofisticados en sus enfoques de los móviles y, por lo tanto, están siendo más capaces de anticipar y responder a los retos en el espacio móvil. Sin embargo, sigue siendo una área de enfoque para las organizaciones, ya que sigue representando uno de los principales vectores de ataque y una gran parte de la superficie global de ataque de la empresa.
Debido a esto, los expertos profesionales están siempre en la búsqueda de herramientas y técnicas que pueden aplicar y adaptarse para ayudarles a garantizar que los dispositivos están protegidos adecuadamente. Afortunadamente, hay bastantes buenas herramientas y recursos por ahí que están disponibles por relativamente poco (o ningún) costo.
Tenga en cuenta que las herramientas descritas en este artículo no son las únicas herramientas disponibles, ni tampoco se pretende que esta lista sea exhaustiva. Este artículo se centra específicamente en herramientas que están disponibles libremente, código abierto, ediciones de herramientas comerciales soportadas por la comunidad, recursos gratuitos, etc. Estas herramientas, indexadas por categoría, pueden ayudar a resolver problemas específicos de seguridad y seguridad en relación con el entorno móvil. Algunos de ellos se refieren a escenarios de prueba en los dispositivos móviles en sí, otros se refieren a garantizar la configuración de buen conocimiento, y otros se relacionan con el aprovechamiento de dispositivos móviles más viejos (siempre fácil de encontrar) para llevar a cabo otras tareas de seguridad y garantía.
1) Herramientas de prueba de aplicaciones móvil
Para aquellas organizaciones que tienen establecido internamente realizar pruebas prácticas, hay una serie de herramientas que pueden ayudar en la prueba de dispositivos móviles o las aplicaciones de negocio que comúnmente ejecutan. En lo que respecta a la prueba de aplicaciones, las herramientas de proxy web, como Burp Suite (https://portswigger.net/burp/) y ZAP de Open Web Application Security Project (OWASP) (https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project) son excelentes opciones. Estas herramientas permiten a los usuarios “fisgonear” el tráfico entre el dispositivo móvil (o, en realidad, cualquier dispositivo) y las aplicaciones web con las que interactúan. Un proxy de prueba web intercepta mensajes entre el dispositivo móvil y la aplicación y permite la manipulación de varios parámetros (por ejemplo, cabeceras HTTP, parámetros de respuesta) entre el dispositivo móvil y la aplicación web. Tenga en cuenta que estas herramientas también son útiles fuera del mundo del dispositivo móvil; Se pueden utilizar para probar cualquier aplicación web independientemente de la plataforma en la que se emplea. Sin embargo, debido a que el uso de dispositivos móviles está tan ligado a las aplicaciones que ejecutan, se tratan aquí.
2) Herramientas de prueba de dispositivo móvil
En términos de pruebas específicas de los propios dispositivos móviles -incluidas las aplicaciones maliciosas y las pruebas del comportamiento de los usuarios, como la respuesta a phishing o SMishing (phishing a través del servicio de mensajes cortos [SMS] )—hay algunas opciones fantásticas. La primera es la versión comunitaria de la herramienta Dagah de Shevirah (https://www.shevirah.com/dagah/). Aquellos en el espacio de prueba de penetración pueden recordar el Smartphone Pentest Framework, desarrollado por Georgia Weidman en respuesta a la subvención Fast Track de la Agencia de Proyectos Avanzados de Defensa (DARPA), actualmente desaparecida. La edición comunitaria tiene algunas limitaciones (en términos de número de objetivos por campaña), pero proporciona al probador la capacidad de orientar dispositivos móviles y personalizar los escenarios de ataques y la entrega de esos ataques a un dispositivo móvil. Incluso hay instrucciones de video1 que explican los escenarios de uso comunes.
3) Herramientas forenses móvil
Por supuesto, surgen situaciones en las que uno puede necesitar investigar un dispositivo para determinar si el dispositivo ha sido atacado o para evaluar de otra manera un incidente potencial que afecte a un dispositivo móvil. Si uno está investigando un dispositivo específico desde el punto de vista de la investigación, un recurso fantástico para tener en cualquier arsenal es la distribución de Santoku Linux (https://santoku-linux.com/). Santoku es una distribución completa de Linux dedicada específicamente al examen forense de dispositivos móviles. Otras plataformas de pruebas y respuesta a incidentes sí contienen herramientas móviles; Por ejemplo, tanto Kali (https://www.kali.org/) como CAINE (www.caine-live.net/) contienen herramientas de análisis móviles. Sin embargo, Santoku tiene la ventaja de estar completamente diseñado específicamente desde una perspectiva de análisis móvil.
4) Herramientas de gestión OS
Desde el punto de vista de la administración de dispositivos, también hay algunas opciones. No sólo hay herramientas que están incorporadas en los ecosistemas de Android e iOS, por ejemplo, el Configurador de Apple (https://support.apple.com/apple-configurator) el Administrador de dispositivos Android (https://www.google.com/android/devicemanager), pero también hay herramientas que proporcionan herramientas de privacidad (por ejemplo, The Guardian Project [ [https://guardianproject.info/]) y configuraciones de SO endurecidas (por ejemplo, CopperheadOS [https://copperhead.co/android/]). Dependiendo de las necesidades de la organización y el contexto de uso, estas herramientas podrían tener potencialmente un papel que desempeñar. Una pequeña o mediana empresa (SMB), por ejemplo, puede encontrar que el Configurador de Apple se ajusta a la factura para el endurecimiento inicial o que los servicios básicos de protección del dispositivo Android, como el borrado remoto en caso de un dispositivo perdido o robado, son suficientes para sus necesidades sin el empleo de un heftier (leer “más caro”) solución.
5) Reacondicionamiento de dispositivo móvil
Un área de oportunidad-particularmente para una organización de PYMES o organización con un presupuesto limitado- es la reutilización de dispositivos móviles para llevar a cabo otras tareas de seguridad. Cualquier persona que trabaja en TI le dirá que una cosa que tienden a tener un poco de es viejo, fuera de fecha o de otro modo los dispositivos móviles no utilizados como los teléfonos móviles de los empleados desmantelados. Bajo las circunstancias adecuadas, estos dispositivos todavía pueden proporcionar cierto valor a un equipo de seguridad. Por ejemplo, hay aplicaciones que permiten que un teléfono inteligente Android o Apple funcione como una cámara de seguridad remota. La aplicación específica para hacer esto varía según la plataforma, pero casi cualquier teléfono inteligente con una cámara (incluso si ya no está conectado a la red celular) puede proporcionar vídeo o datos de imágenes fijas a través de una conexión Wi-Fi. ¿Es esto un reemplazo para una capacidad de monitoreo de “grado empresarial”? Por supuesto no. Sin embargo, puede proporcionar un mecanismo intermedio para asegurar que las ubicaciones se monitorean adecuadamente a corto plazo en ciertas situaciones -por ejemplo, en el período intermedio entre el momento en que se identifica una brecha en la cobertura y se coloca el equipo nuevo o en el caso de Una extensión de corto plazo en la cobertura.
Asimismo, los dispositivos más antiguos (típicamente Android) se pueden utilizar como mecanismos de detección de punto de acceso inalámbrico remoto en ciertas situaciones, por ejemplo, una organización con un área física grande para cubrir (por ejemplo, numerosas oficinas remotas o ubicaciones minoristas). Hay literalmente decenas de analizadores Wi-Fi gratis en el mercado de Android que proporcionará información sobre las redes inalámbricas en el rango. Cuando se usan en una ubicación en la que los puntos de acceso no autorizados son un problema y se supervisan de forma remota, estas herramientas pueden alertar a nuevos puntos de acceso inesperados. Una vez más, ¿es esta la solución ideal para todas las necesidades de prevención de intrusiones inalámbricas? Probablemente no. Pero, ¿puede hacer que una parada de bajo costo ayude a lograr tareas muy específicas como la detección de puntos de acceso fraudulentos en el corto plazo? Sí, puede -y bajo las circunstancias adecuadas, eso puede ser valioso.
Notas finales
1 Weidman, G.; “Using Dagah GUI,” YouTube video, 30 March 2017, https://www.youtube.com/watch?v=dqBOs4YT36M
Ed Moyle
Es director de liderazgo de pensamiento e investigación en ISACA®. Antes de unirse a ISACA, Moyle fue estratega senior de seguridad con Savvis y socio fundador de la firma de analistas Security Curve. En sus cerca de 20 años en seguridad de la información, ha ocupado numerosos puestos como el gerente senior de la práctica de seguridad global de CTG, vicepresidente y oficial de seguridad de información de Merrill Lynch Investment Managers y analista senior de seguridad de Trintech. Moyle es coautor de Cryptographic Libraries for Developers y colaborador frecuente en la industria de la seguridad de la información como autor, orador público y analista.