Download - Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas

Transcript
Page 1: Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas

Security Response

ContenidosIntroducción............................................................ 1Seguridad.Móvil.-.Metas......................................... 2Apple.iOS................................................................. 2Android.................................................................... 3iOS.vs..Android:.Comparación.sobre.Seguridad.... 4Conclusiones........................................................... 4

IntroducciónCon. tantos. dispositivos. móviles. abriéndose. camino. en. las. empresas,. los.CIO. y. los. CISO. se. enfrentan. a. una. prueba. de. fuego.. Cada. vez. más. usuarios.utilizan. sus. dispositivos. para. acceder. a. servicios. de. la. empresa,. ver. datos.corporativos. y. realizar. negocios.. Además,. muchos. de. estos. dispositivos.no. son. controlados. por. el. administrador,. lo. que. significa. que. datos.importantes.de.la.empresa.no.están.sujetos.a. las.políticas.de.cumplimiento,.seguridad. y. prevención. de. pérdida. de. datos. (DLP). de. la. organización..

Para. complicar. aún. más. las. cosas,. los. dispositivos. móviles. de. hoy. no.están. aislados,. sino. que. están. conectados. a. un. completo. ecosistema.que. soporta. servicios. en. nube. y. basados. en. PC.. El. teléfono. inteligente.típico. se. sincroniza. con. al. menos. un. servicio. basado. en. nube. pública.que. se. encuentra. fuera. del. control. del. administrador.. Muchos. usuarios.sincronizan. sus. dispositivos. directamente. con. sus. computadoras. de.casa. para. realizar. copias. de. seguridad. de. los. datos. y. configuraciones.importantes.. En. ambos. casos,. es. posible. que. se. almacenen. datos. clave. de.la. empresa. en. diversas. ubicaciones. no. seguras. fuera. de. su. control. directo.

En. este. contexto,. Symantec. presenta. este. informe,. el. cual. aborda. los.modelos. de. seguridad. de. las. plataformas. Android. de. Google. e. iOS.de. Apple,. las. dos. plataformas. móviles. más. populares. actualmente.en. uso,. para. evaluar. el. impacto. que. tendrán. estos. dispositivos. en. la.seguridad. a. medida. que. son. cada. vez. más. utilizados. en. las. empresas..

Visite.www.symantec.com/la/tendenciasmovilidad.para.más.información.

Carey Nachenberg Vicepresidente, Symantec Corporation

Resumen ejecutivo

Una Mirada a la Seguridad de los Dispositivos MóvilesAnálisis de los enfoques de seguridad en las plataformas iOS de Apple y Android de Google

Page 2: Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas

Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo)

Página.2

Security Response

Objetivos de seguridad móvilEn.lo.que.se.refiere.a.seguridad,.las.dos.plataformas.móviles.más.importantes.comparten.muy.poco.con.sus.sistemas.operativos.de.escritorio.y.para.servidor..A.pesar.de.que.ambas.plataformas.fueron.construidas.en.sistemas.operativos.existentes.(iOS.está. basado. en. el. sistema. operativo. OSX. de. Apple. y. Android. está. basado. en. Linux),. éstos. utilizan. modelos. de. seguridad.mucho.más.elaborados.que.fueron.diseñados.en.su.núcleo.de.implementación..El.objetivo.probablemente.era.implementar.la.seguridad.interna.de.las.plataformas.móviles.en.lugar.de.utilizar.software.de.seguridad.de.terceros.

Entonces,.¿Apple.y.Google.tuvieron.éxito.al.intentar.crear.plataformas.seguras?.Para.responder.a.esta.pregunta,.incluimos.un.análisis.del.modelo.de.seguridad.de.cada.plataforma.y.analizaremos.su.implementación.para.determinar.su.efectividad.contra.las.principales.amenazas.de.hoy.en.día,.incluyendo:.

• Ataquesbasadosenlawebyenredes.Estos.ataques.son.generalmente.iniciados.por.sitios.web.maliciosos.o.sitios.web.legítimos.comprometidos..

• Softwaremalicioso.El.software.malicioso.se.puede.dividir.en.tres.categorías.de.alto.nivel:.virus.informáticos.tradicionales,.gusanos.informáticos.y.troyanos.

• Ataques de ingeniería social. Estos. ataques,. como. el. phishing,. se. aprovechan. de. la. ingeniería. social. para. engañar. al.usuario.y.hacer.que.revele.información.importante.o.instale.software.malicioso.en.su.computadora..

• Abusodedisponibilidaddeserviciosyrecursos.El.objetivo.de.muchos.ataques.es.hacer.un.mal.uso.de.la.red,.los.recursos.informáticos.o.la.identidad.de.un.dispositivo.para.fines.ilegítimos..

• Pérdidadedatosmaliciosayno intencionada.La.pérdida.de.datos.se.produce.cuando.un.empleado.o.hacker.extrae.información.importante.de.una.red.o.dispositivo.protegido.

• Ataquessobrelaintegridaddelosdatosdeldispositivo.En.un.ataque.a.la.integridad.de.los.datos,.el.agresor.intenta.corromper.o.modificar.los.datos.sin.permiso.del.propietario.

iOS de AppleEl.sistema.operativo.iOS.de.Apple.que.se.utiliza.en.iPod,.iPhone.y.iPad.es.una.versión.reducida.del.sistema.operativo.OS.X.Mac.de.Apple.

VulnerabilidadesAl. momento. en. que. se. redactó. este. informe,. los. investigadores. de. seguridad. habían. descubierto. aproximadamente. 200.vulnerabilidades.diferentes.en.diversas.versiones.del.sistema.operativo.iOS.desde.su.lanzamiento.inicial..La.gran.mayoría.de.estas.vulnerabilidades.correspondía.a.un.nivel.de.severidad.bajo..La.mayoría.permitiría.al.atacante.tomar.control.de.un.solo.proceso,.como.el.proceso.Safari,.pero.no.le.permitiría.tomar.control.del.dispositivo.a.nivel.administrador..Las.demás.vulnerabilidades.correspondían.a.una.severidad.mayor,.y.podrían.permitir.al.atacante.tomar.control.del.dispositivo.a.nivel.administrador,.suministrándole.acceso.a.casi.todos.los.datos.y.servicios.del.dispositivo..Estas.vulnerabilidades.más.severas.se.clasifican.como.vulnerabilidades.de.“escalamiento.de.privilegios”.porque.permiten.que.el.atacante.aumente.sus.privilegios.y.obtenga.el.control.total.del.dispositivo..

Según.los.datos.de.Symantec.al.momento.en.que.se.redactó.esta.investigación,.Apple.tardó.aproximadamente.12.días.en.corregir.cada.vulnerabilidad.una.vez.descubierta.

Resumen de la seguridad de iOSA.Symantec.considera.que.el.modelo.de.seguridad.de.iOS.está.bien.diseñado.y.ha.demostrado.poseer.una.gran.resistencia.a.ataques..En.resumen:

• ElsistemadeencriptacióndeiOSofrece.una.sólida.protección.para.los.mensajes.de.correo.electrónico.y.sus.archivos.adjuntos,.y.permite.el.borrado.del.dispositivo,.pero.ofrece.poca.protección.contra.los.ataques.a.dispositivos.físicos.de.un.determinado.atacante.

• ElenfoquedeprocedenciadeiOSgarantiza.que.Apple.estudia.de.forma.cuidadosa.cada.aplicación.pública.disponible..A.pesar.de.que.este.enfoque.de.estudio.exhaustivo.no.es.a.toda.prueba.y.puede.ser.evadido.por.un.determinado.atacante.casi.con.seguridad,.ha.demostrado.ser.un.gran.obstáculo.para.los.ataques.de.software.malicioso,.pérdida.de.datos,.integridad.de.datos.y.negación.de.servicio.

• ElmodelodeaislamientodeiOSevita.completamente.los.tipos.de.virus.informáticos.y.gusanos.tradicionales.y.limita.los.datos.a.los.que.el.spyware.puede.acceder..También.limita.la.mayoría.de.los.ataques.basados.en.la.red,.como.por.ejemplo.que.la.memoria.buffer.tome.control.del.dispositivo..Sin.embargo,.no.necesariamente.evita.todos.los.tipos.de.ataques.de.pérdida.de.datos,.abuso.de.recursos.o.integridad.de.los.datos..

• El modelo de permisos de iOS garantiza. que. las. aplicaciones. no. puedan. obtener. la. ubicación. del. dispositivo,. enviar.mensajes.SMS.ni.iniciar.llamadas.sin.el.permiso.del.propietario.

Page 3: Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas

Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo)

Página.3

Security Response

•. Ninguna.de.las.tecnologías.de.protección.del.iOS.se.dirige.a.ataques.de.ingeniería.social.como.los.ataques.de.phishing.o.spam.

AndroidAndroid.es.una.unión.entre.el.sistema.operativo.Linux.y.una.plataforma.basada.en.Java.denominada.Dalvik,.que.es.una.versión.de.la.popular.plataforma.Java..Cada.aplicación.Android.se.ejecuta.dentro.de.su.propia.máquina.virtual,.y.cada.máquina.virtual.es. aislada. en. su. propio. proceso. Linux.. Este. modelo. garantiza. que. ningún. proceso. pueda. acceder. a. los. recursos. de. otros.procesos,.a.menos.que.el.dispositivo.sea.“jail.broken”..Mientras.que.la.máquina.virtual.Java.fue.diseñada.para.ser.un.sistema.seguro,.de.zona.protegida,.capaz.de.contener.programas.potencialmente.maliciosos,.Android.no.se.basa.en.su.máquina.virtual.para.implementar.su.seguridad..Toda.la.protección.es.implementada.directamente.por.el.sistema.operativo.Android.basado.en.Linux.

VulnerabilidadesAl. momento. en. que. se. redactó. este. informe,. los. investigadores. de. seguridad. habían. descubierto. un. total. de. 18.vulnerabilidades. diferentes.en.diversas.versiones.del. sistema.operativo.Android.desde.su. lanzamiento. inicial..La.mayoría.de.estas.vulnerabilidades.correspondían.a.un.nivel.bajo.de.severidad.y.sólo.podrían.permitir.al.atacante.tomar.control.de.un.sólo.proceso,.como.el.proceso.del.navegador.web,.pero.no.le.permitirían.tomar.control.del.dispositivo.a.nivel.administrador..Las.restantes.vulnerabilidades.correspondían.a.un.nivel.de.severidad.mayor,.y.podrían.permitir.al.atacante.tomar.control.del.dispositivo.a.nivel.raíz,.suministrándole.acceso.a.casi.todos.los.datos.del.dispositivo..

Hasta. la. fecha,. Google. ha. corregido. 14. de. estas. 18. vulnerabilidades.. De. las. cuatro. vulnerabilidades. no. corregidas,. una.corresponde.al.tipo.de.escalamiento.de.privilegios.más.severo..Esta.vulnerabilidad.se.corregirá.en.la.versión.2.3.de.Android,.pero. no. se. ha. corregido. para. las. versiones. anteriores. del. mencionado. sistema. operativo.. Dado. que. la. mayoría. de. los.proveedores.no.han.actualizado.los.teléfonos.de.sus.clientes.de.Android.2.2.a.2.3,.prácticamente.todos. los.teléfonos.con.Android. (al. momento. de. la. redacción. de. este. informe). podrían. ser. vulnerables. a. ataques.. Esta. vulnerabilidad. puede. ser.aprovechada.por.cualquier.aplicación.de. terceros.y.no. requiere.que.el.atacante. tenga.acceso. físico.al.dispositivo.. .Según.los.datos.de.Symantec.al.momento.en.que.se.redactó.este.informe,.Google.tardó.aproximadamente.8.días.en.corregir.cada.vulnerabilidad.una.vez.descubierta.

Resumen de la seguridad de AndroidEn. general,. creemos. que. el. modelo. de. seguridad. de. Android. representa. una. mejora. importante. por. sobre. los. modelos.utilizados. por. los. sistemas. operativos. de. escritorio. y. basados. en. servidores;. sin. embargo,. presenta. dos. desventajas.importantes..En.primer.lugar,.su.sistema.de.procedencia.permite.que.los.atacantes.creen.y.distribuyan.software.malicioso.en.forma.anónima..En.segundo.lugar,.aunque.su.sistema.de.permisos.es.extremadamente.potente,.es.el.usuario.el.que.debe.tomar.las.decisiones.importantes.relacionadas.con.la.seguridad,.y.desafortunadamente,.la.mayoría.de.los.usuarios.no.están.capacitados.técnicamente.para.tomar.dichas.decisiones,.lo.que.ya.ha.dado.lugar.a.ataques.de.ingeniería.social..En.resumen:

• El enfoque de procedencia de Android garantiza. que. sólo. se. puedan. instalar. aplicaciones. firmadas. digitalmente. en.dispositivos. con. Android.. Sin. embargo,. los. atacantes. pueden. utilizar. certificados. digitales. anónimos. para. firmar. sus.amenazas.y.distribuirlas.por.Internet.sin.ninguna.certificación.de.Google..Los.atacantes.también.pueden.“troyanizar”.o.inyectar.códigos.maliciosos.fácilmente.en.aplicaciones.legítimas.y.redistribuirlos.fácilmente.por.Internet,.firmándolos.con.un.nuevo.certificado.anónimo..En.cuanto.al.aspecto.positivo,.Google.requiere.que.los.autores.de.aplicaciones.que.deseen.distribuir.las.suyas.a.través.de.Android.App.Marketplace.paguen.un.arancel.y.se.registren.en.Google.(compartiendo.su.firma.digital.de.desarrollador.con.Google)..Al.igual.que.con.el.enfoque.de.registro.de.Apple,.éste.representa.un.obstáculo.para.los.atacantes.menos.organizados.

• LapolíticadeaislamientopredeterminadadeAndroid logra.aislar.en.forma.efectiva. las.aplicaciones.entre.sí.y.de. la.mayoría.de.los.sistemas.del.dispositivo,.por.ejemplo,.del.kernel.del.sistema.operativo.de.Android,.con.diversas.excepciones.significantes..(las.aplicaciones.pueden.leer.todos.los.datos.de.la.tarjeta.SD.sin.restricciones).

• ElmodelodepermisosdeAndroidgarantiza.que.las.aplicaciones.sean.aisladas.de.casi.todos.los.sistemas.de.los.dispositivos.principales,.a.menos.que.requieran.acceso.a.dichos.sistemas.explícitamente..Desafortunadamente,.Android.deja.al.usuario.la.última.decisión.acerca.de.otorgar.permiso.a.una.aplicación.o.no,.lo.cual.lo.deja.abierto.a.ataques.de.ingeniería.social..La.gran.mayoría.de.los.usuarios.no.están.preparados.para.tomar.estas.decisiones,.por.lo.que.son.vulnerables.a.ataques.de.software.malicioso.y.a.todos.los.ataques.secundarios.(ataques.de.denegación.de.servicio,.pérdida.de.datos,.etc.).que.pueden.ser.iniciados.por.software.malicioso..

•. Actualmente,. Android. no. ofrece. ninguna. encriptación. integrada. ni. predeterminada;. sólo. se. basa. en. el. aislamiento. y. el.otorgamiento.de.permisos.para.resguardar.los.datos..Por.ello,.un.simple.jail-break.de.un.teléfono.Android.o.el.robo.de.la.tarjeta.SD.de.un.dispositivo.puede.significar.una.gran.pérdida.de.datos.

Page 4: Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas

Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo)

Página.4

Security Response

•. Al. igual. que. con. iOS,. Android. no. posee. ningún. mecanismo. para. evitar. ataques. de. Ingeniería. Social,. como. ataques. de.phishing.u.otros.engaños.basados.en.la.web.(fuera.del.dispositivo).

iOS vs. Android: Comparación sobre SeguridadLas. siguientes. tablas. resumen. nuestras. conclusiones. acerca. de. las. diversas. fortalezas. y. debilidades. de. las. plataformas.móviles.iOS.y.Android.

.

ConclusiónHoy.en.día.los.dispositivos.móviles.son.una.bolsa.donde.todo.se.mezcla.cuando.se.trata.de.seguridad..Estas.plataformas.fueron.diseñadas.desde.el.comienzo.para.ser.más.seguras;.sin.embargo,.estos.dispositivos.fueron.diseñados.para.ser.utilizados.por.consumidores,.y.en.algunos.casos,.han.relegado.la.seguridad.en.favor.de.la.facilidad.de.uso..Esta.compensación.contribuyó.a.la.popularidad.masiva.de.las.plataformas,.pero.también.aumentó.el.riesgo.que.implica.la.utilización.de.estos.dispositivos.en.las.empresas.

El.hecho.de.que.muchos.empleados.lleven.sus.propios.dispositivos.a.la.empresa.y.los.utilicen.sin.supervisión.para.acceder.a. recursos. corporativos. como. calendarios,. listas. de. contacto,. documentos. corporativos. e. inclusive. para. enviar. y. recibir.mensajes.de.correo.electrónico.aumenta.el.riesgo..A.menudo.también.los.empleados.sincronizan.estos.datos.corporativos.con.servicios.en.la.nube.de.terceros.y.con.sus.laptops.o.PCs.en.sus.hogares..Esta.conectividad.alternativa.produce.“fugas”.de.datos.corporativos.potencialmente.importantes.en.sistemas.de.terceros.que.no.están.bajo.el.control.directo.de.la.organización.

Finalmente,.mientras.los.dispositivos.móviles.prometen.mejorar.notablemente.la.productividad,.también.traen.consigo.una.cantidad.de.riesgos.nuevos.que.deben.ser.controlados.por.las.empresas..Esperamos.que.con.la.explicación.de.los.modelos.de.seguridad.detrás.de.cada.plataforma.y.de.los.ecosistemas.de.los.que.participan.estos.dispositivos,.el.lector.pueda.evaluar.estos.dispositivos.y.manejar.los.riesgos.que.éstos.conllevan.con.mayor.efectividad..

Visite.www.symantec.com/la/tendenciasmovilidad.para.más.información.

Table.1.

Resistencia frente a tipos de ataques

Resistencia a: iOS AppleAndroid Google

Ataques.basados.en.la.Web

Ataques..malware

Ataques.ingeniería.social

Ataques.de.abuso.y.recursos.de.servicio

Pérdida.de.datos.(mal-ciosa.y.accidental)

Ataque.integridad.de.datos .

Table.2.

Implementación de funciones de seguridad

Pilares de seguridad iOS Apple

Android Google

Control.de.acesso

Procedencia.de.aplicación

Encriptación

Aislamiento

Control.de.acceso.basado.en.permisos

Leyenda Protección completa Poca protección Buena protección Protección nula Protección moderada

Page 5: Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas

SobreSymantecSymantec.es.líder.mundial.en.soluciones.de.seguridad,.

almacenamiento.y.administración.de.sistemas.que.ayudan.a.las.empresas.y.consumidores.a.proteger.y.

administrar.su.información..Tiene.su.sede.en.Mountain.View,.California.y.operaciones.en.más.de.40.países..Más.

información.está.disponible.en.www.symantec.com/la

Para.información.sobre.las.oficinas.en.los.distintos.países.y.datos.de.contacto,.visite.nuestro.sitio.Web.

www.symantec.com/la

Symantec.CorporationCorporativo.Mundial

350.Ellis.StreetMountain.View,.CA.94043.USA

Copyright.©.2011.Symantec.Corporation..Derechos.reservados..Symantec.y.el.logotipo.de.Symantec.logo.

son.propiedad.o.marcas.registradas.de..Symantec.Corporation.o.sus.afiliados.en.los.Estados.Unidos.y.otros.países..Algunos.otros.nombres.pueden.ser.

propiedad.de.sus.respectivos.dueños..

.Cualquier.información.técnica.publicada.por.Symantec.Corporation.es.propiedad.y.está.protegida.por.derechos.de.autor.de..Symantec.Corporation.

SIN.GARANTíA...La.información.técnica.se.presenta.tal.cual.y.Symantec..Corporation.no.garantiza.su.uso.o.exactitud..Cualquier.uso.de.la.documentación.técnica.o.la.información.en.este.documento.es.bajo.el.riesgo.del.usuario..La.documentación.puede.incluir.imprecisiones.o.errores.tipográficos..Symantec.se.reserve.el.derecho.de.hacer.cambios.sin.notificación.previa...

Security Response

SobreelAutorCarey.Nachenberg.es.Vicepresidente.e.investigadora.dentro.de.la.organización.Symantec.Security,.Technology,.and.Response.


Top Related

Androi d Phone - finedigital.ofscdn.comfinedigital.ofscdn.com/fineweb/menual/iQ7_mobileguide_web.pdf · iOS Apple iPhone Apple iPhone Apple iPhone . Title: iQ7_휴대폰연결안내서_2차

Androi d Phone - finedigital.ofscdn.comfinedigital.ofscdn.com/fineweb/menual/iQ7_mobileguide_web.pdf · iOS Apple iPhone Apple iPhone Apple iPhone . Title: iQ7_휴대폰연결안내서_2차

Sistema de control de procesos SIMATIC PCS 7 · SIMATIC PCS 7 Sistema de control de procesos SIMATIC PCS 7 Catálogo ST PCS 7 · Febrero 2010 Anulado: Catálogo ST PCS 7 · Marzo

Sistema de control de procesos SIMATIC PCS 7 · SIMATIC PCS 7 Sistema de control de procesos SIMATIC PCS 7 Catálogo ST PCS 7 · Febrero 2010 Anulado: Catálogo ST PCS 7 · Marzo

Symantec Website Security for Dummies ES

Symantec Website Security for Dummies ES

Presentación Symantec

Presentación Symantec

Symantec Tendencias 2011

Symantec Tendencias 2011

Tutorial Instalación Symantec Endpoint protection

Tutorial Instalación Symantec Endpoint protection

Mantenimiento de Pcs

Mantenimiento de Pcs

SYMANTEC / EMC Por: Katherine Quesada Jessica Rodriguez.

SYMANTEC / EMC Por: Katherine Quesada Jessica Rodriguez.

Idiomas
Páginas
Jurídico

Copyright © 2022 FDOCUMENTS