banner

OWASP: Metodología para análisis de Seguridad en Aplicaciones Móviles (I)


INTRODUCCIÓN

Imagino que muchos de los lectores ya están familiarizados con las principales amenazas o riesgos que se ciernen sobre los dispositivos móviles, siendo plenamente conscientes de la proliferación de aplicaciones infectadas con #malware que continuamente acechan a nuestros dispositivos móviles.

                                                                 
Indice:

Las estadísticas de crecimiento auguran en los próximos años un crecimiento exponencial tanto en dispositivos móviles con sistemas Android / iOS como en malware especialmente diseñados para ellos. Así que cada vez se hace más necesario combatir y prevenir el #malware incluyendo en nuestros procedimientos de seguridad las aplicaciones de los dispositivos móviles corporativos y/o de empresa.

OWASP Apps Mobile - Top 10 Risks

Para llevar a cabo nuestras Auditorias de Seguridad sobre las aplicaciones para los dispositivos móviles de una forma homogénea y repetible, hace falta un estándar o metodología que establezca los pasos a seguir. A este respecto,  OWASP esta trabajando [en estado borrador] en una guía de Seguridad que ayude a estandarizar y homogeneizar las pruebas que se realizan para el análisis de seguridad en las aplicaciones móviles.

Basándome en dicha guía, he establecido una metodología que aplicada al desarrollo de aplicaciones móviles permitiría identificar los puntos débiles del software y tomar las medidas necesarias para subsanar dichos errores antes de que el producto sea puesto en producción.

METODOLOGÍA

La metodología esta pensada para ser puesta en práctica desde el punto de vista de un desarrollador de aplicaciones. De esta forma la auditoria ideal de las aplicaciones móviles sería combinar el análisis dinámico, estático y forense para conseguir cubrir el mayor área (superficie) posible de ataque.

"Análisis dinámico se utiliza para asegurar la calidad y seguridad de la aplicación software durante el proceso de ejecución, mientras que el Análisis estático es la revisión de la seguridad de la aplicación a través del código fuente de la misma, utilizado habitualmente durante la fase de desarrollo de la aplicación"
Tomando como base la "auditoria ideal" para el análisis de seguridad de las aplicaciones móviles, se construyen las siguiente tres etapas de una Auditoria para aplicaciones móviles:
  • E1: Information Gathering
  • E2: Static Analysis
  • E3: Dynamic Analysis
A continuación se describen con detalle todas las etapas, incluyendo las actividades y tareas a realizar en cada una de ellas.

E1: Information Gathering

En la primera etapa de la metodología se establece una serie de pasos y/o tareas que el auditor deberá realizar con el objetivo de prepararse para las siguiente fases de la metodología. 

En esta etapa se llevará a cabo un reconocimiento de la aplicación con objeto de identificar la magnitud y alcance de la aplicación. Será necesario la recopilación de la información que ayude a identificar la infraestructura que proporciona soporte a la aplicación así como sus posibles vectores de ataque, esta fase también es conocida como  la fase de "Reconocimiento".

Las Actividades y tareas a realizar durante esta etapa son:

  • E1.A1Requisitos y/o características necesarias para la Auditoria
  • E1.A2Análisis de los requisitos de Comunicación
  • E1.A3Análisis de las funcionalidades y/o características de la aplicación
  • E1.A4Análisis de la arquitectura software de la aplicación
En nuestro siguiente artículo se describirán las tareas asociadas a dichas actividades y se continuara con las siguientes etapas de la metodología.

No hay comentarios :

Publicar un comentario