1102812148.Pdf (Análisis De Seguridad De La Aplicación Prism
Total Page:16
File Type:pdf, Size:1020Kb
ANÁLISIS DE SEGURIDAD DE LA APLICACIÓN PRISM PARA SISTEMAS OPERATIVOS ANDROID, PROPIEDAD DE LA EMPRESA BARCODEAPPS, TOMANDO COMO REFERENCIA EL TOP 10 DE RIESGOS ESTABLECIDOS EN EL PROYECTO DE SEGURIDAD MÓVIL - OWASP. DAYCITH JOSÉ GONZÁLEZ RODRÍGUEZ CÓDIGO: 1.102.812.148 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA COROZAL 2017 ANÁLISIS DE SEGURIDAD DE LA APLICACIÓN PRISM PARA SISTEMAS OPERATIVOS ANDROID, PROPIEDAD DE LA EMPRESA BARCODEAPPS, TOMANDO COMO REFERENCIA EL TOP 10 DE RIESGOS ESTABLECIDOS EN EL PROYECTO DE SEGURIDAD MÓVIL - OWASP. DAYCITH JOSÉ GONZÁLEZ RODRÍGUEZ CÓDIGO: 1.102.812.148 Trabajo de grado como requisito para optar al título de: Especialista en Seguridad Informática Director: Ing. Julio Alberto Vargas Fernández UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA COROZAL 2017 Nota de aceptación: _____________________________________ _____________________________________ _____________________________________ _____________________________________ ___________________________________ Firma del presidente del jurado ___________________________________ Firma del jurado ___________________________________ Firma del jurado Corozal, 13 de diciembre de 2017 Principalmente a Dios, a quien le debo todo lo que soy y lo que tengo. A mis padres, mis hermanos, y mi esposa, que han tenido una gran paciencia y me han brindado su apoyo en todo momento. A mi hija, porque ha sido mi gran inspiración. Daycith José González Rodríguez AGRADECIMIENTOS Gracias a Dios por darme la oportunidad de realizar con éxito este proceso, al personal BarcodeApps., especialmente a MAURICIO FRANCO, su Vicepresidente, por su apoyo incondicional desde el primer momento; a mi asesor de proceso, el Ingeniero JULIO ALBERTO VARGAS FERNÁNDEZ, Especialista en Seguridad Informática y Docente en la Universidad Nacional Abierta y A Distancia UNAD, por el tiempo, la dedicación y orientación en la elaboración del proyecto. CONTENIDO pág. INTRODUCCIÓN ................................................................................................... 16 1. PLANTEAMIENTO DEL PROBLEMA ............................................................. 17 1.2 FORMULACIÓN DEL PROBLEMA .............................................................. 19 2. JUSTIFICACIÓN ............................................................................................. 20 3. OBJETIVOS .................................................................................................... 22 3.1 GENERAL .................................................................................................... 22 3.2 ESPECÍFICOS.............................................................................................. 22 4. MARCO REFERENCIAL ................................................................................. 23 4.1 REFERENTE TEÓRICO ............................................................................... 23 4.2 REFERENTE CONCEPTUAL....................................................................... 24 4.2.1 Sistema Operativo Android.. ................................................................... 24 4.2.2 Actualizaciones de Android.. .................................................................. 24 4.2.3 Arquitectura de Android. ......................................................................... 25 4.2.3.1 Kernel.. ............................................................................................. 25 4.2.3.2 Librerías.. ......................................................................................... 26 4.2.3.3 Entorno de ejecución.. ..................................................................... 26 4.2.3.4 Framework de aplicaciones.. ............................................................ 26 4.2.3.5 Aplicaciones.. ................................................................................... 26 4.2.4 Vulnerabilidad.. ....................................................................................... 27 4.2.5 Amenaza.. .............................................................................................. 27 4.2.6 Riesgo.. .................................................................................................. 27 4.2.7 Análisis estático.. .................................................................................... 27 4.2.8 Análisis dinámico.. .................................................................................. 27 4.2.9 Características de un Software Seguro. ................................................. 28 4.2.9.1 Ejecución Predecible.. ...................................................................... 28 4.2.9.2 Fiabilidad.. ........................................................................................ 28 4.2.9.3 Conformidad.. ................................................................................... 29 4.2.9.4 Confidencialidad.. ............................................................................. 29 4.2.9.5 Integridad.. ....................................................................................... 29 4.2.9.6 Disponibilidad.. ................................................................................. 29 4.2.9.7 Responsabilidad.. ............................................................................. 30 4.2.9.8 No repudio.. ...................................................................................... 30 4.2.9.9 Análisis de riesgos.. ......................................................................... 30 4.2.10 Amenazas a los que se encuentran expuestos las aplicaciones web y móviles. ........................................................................................................... 30 4.2.10.1 Amenazas durante el desarrollo.. ................................................... 30 4.2.10.2 Amenazas durante la operación.. ................................................... 31 4.2.11 Ataques a un dispositivo móvil.. ........................................................... 31 4.2.11.1. Puntos sensibles de un dispositivo móvil. ..................................... 32 4.2.11.2 Tipos de ataques. ........................................................................... 33 4.2.11.3 Anatomía de un ataque móvil ......................................................... 35 4.2.12 OWASP. ............................................................................................... 43 4.2.12.1 M1 Weak Server Side Controls.. .................................................... 44 4.2.12.2 M2 Insecure Data Storage.. ........................................................... 46 4.2.12.3 M3 Insufficient Transport Layer Protection.. ................................... 49 4.2.12.4 M4 Unintended Data Leakage.. ...................................................... 51 4.2.12.5 M5 Poor Authorization and Authentication.. ................................... 53 4.2.12.6 M6 Broken Cryptography.. ............................................................. 55 4.2.12.7 M7 Client Side Injection.. ................................................................ 57 4.2.12.8 M8 Security Decisions Via Untrusted Inputs. ................................. 59 4.2.12.9 M9 Improper Session Handling.. .................................................... 61 4.2.12.10 M10 Lack of Binary Protections. ................................................... 62 4.2.13 Otros modelos de penetración. ............................................................ 64 4.2.13.1 OSSTMM.. ..................................................................................... 64 4.2.13.2 ISSAF.. ........................................................................................... 64 4.2.13.3 CHECK IT Health Check.. .............................................................. 65 4.2.13.4 ISACA.. .......................................................................................... 65 4.3. REFERENTES LEGALES ........................................................................... 65 4.3.1. Software. ............................................................................................... 66 4.3.1.1 Contrato de licencia de uso de software.. ........................................ 67 4.3.1.2 Contrato de Escrow .......................................................................... 67 4.3.1.3 Contrato de licencia de distribución de software. ............................. 67 4.3.1.4 Artículos relativos a propiedad intelectual y propiedad industrial ..... 67 4.3.2 Google.. .................................................................................................. 76 5. DISEÑO METODOLÓGICO PRELIMINAR ..................................................... 77 5.1. TIPO DE INVESTIGACIÓN ......................................................................... 77 5.2. DISEÑO ....................................................................................................... 77 5.2.1. Población y muestra.. ............................................................................ 78 5.3. RECURSOS DISPONIBLES ....................................................................... 79 5.3.1. Recursos humanos.. .............................................................................. 79 5.3.2. Recursos económicos ........................................................................... 79 5.4. CRONOGRAMA DE ACTIVIDADES. .........................................................