index.html

<!doctype html>
<html lang="es">

	<head>
		<meta charset="utf-8">

		<title>JUCSE2013 - Seguridad de Aplicaciones Web</title>

		<meta name="description" content="Seguridad de Aplicaciones Web">
		<meta name="author" content="Francisco J Capdevila">
		<meta name="author" content="Ing. Daniel Maldonado">

		<meta name="apple-mobile-web-app-capable" content="yes" />
		<meta name="apple-mobile-web-app-status-bar-style" content="black-translucent" />

		<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">

		<link rel="stylesheet" href="css/reveal.min.css">
		<link rel="stylesheet" href="css/theme/default.css" id="theme">

		<!-- For syntax highlighting -->
		<link rel="stylesheet" href="lib/css/zenburn.css">

		<!-- If the query includes 'print-pdf', use the PDF print sheet -->
		<script>
			document.write( '<link rel="stylesheet" href="css/print/' + ( window.location.search.match( /print-pdf/gi ) ? 'pdf' : 'paper' ) + '.css" type="text/css" media="print">' );
		</script>

		<!--[if lt IE 9]>
		<script src="lib/js/html5shiv.js"></script>
		<![endif]-->
	</head>

	<body>

		<div class="reveal">

			<!-- Any section element inside of this container is displayed as a slide -->
			<div class="slides">
				<section>
					<h1>JUCSE 2013</h1>
					<h3>Seguridad de Aplicaciones Web</h3>
					<p>
						<small>por <a href="#">Francisco J Capdevila</a> / <a href="http://twitter.com/pancho_jay">@pancho_jay</a><br>
						y <a href="http://caceriadespammers.com.ar">Daniel Maldonado </a> / <a href="http://twitter.com/elcodigok">@elcodigok</a></small>
					</p>
				</section>
				<section>
					<h2>Objetivos</h2>
					<ul>
						<li>Exponer las principales problemáticas en las aplicaciones web</li>
						<li>Crear conciencia en la área de desarrollo sobre la mentalidad de los atacantes</li>
						<li>Proveer de los principios de seguridad básicos para un desarrollo seguro</li>
					</ul>
				</section>
				<section>
					<section>
						<h2>Introducción</h2>
					</section>
					<section>
						<h2>(In)Seguridad en TI</h2>
						<ul>
							<li>La inseguridad ha crecido en forma exponencial en los últimos años</li>
							<li>Un sistema informático seguro requiere:</li>
								<ul>
									<li>Disponibilidad</li>
									<li>Integridad</li>
									<li>Confidencialidad</li>
								</ul>
							<li>La seguridad es un <b>proceso continuo</b>, no es una meta ni un fin</li>
						</ul>
					</section>
					<section>
						<h3>Circulo de Deming</h3>
						<img src="images/pdca.png" alt="Circulo de Deming">
					</section>
					<section>
						<h2>Algunos números</h2>
						<ul>
							<li>De 300 sitios auditados el 97% son vulnerables a ataques de aplicaciones Web</li>
							<li>El 75% de los ataques ocurren a nivel de la aplicación Web</li>
							<li>Mas de la mitad del software analizado no alcanza un nivel de seguridad aceptable</li>
							<li>8 de cada 10 aplicaciones no alcanza a verificar el TOP 10 de OWASP.</li>
						</ul>
					</section>
					<section>
						<h2>Origenes de la Inseguridad en TI</h2>
						<ul>
							<li>Velocidad en la que aparecen nuevas vulnerabilidades</li>
							<li>Las redes y sistemas actuales fueron concebidos para ser fáciles de usar</li>
							<li>Desconocimiento de los procesos, métodos y mentalidad de los atacantes</li>
						</ul>
					</section>
					<section>
						<h2>Tipos de atacantes</h2>
						<ul>
							<li>White Hat</li>
							<li>Black Hat</li>
							<li>Script kiddie</li>
						</ul>
					</section>
					<section>
						<h2>Objetivo de un atacante</h2>
						<p>Acceso a información confidencial o procesos internos</p>
						<ul>
							<li>Spamming</li>
							<li>Fraude financiero</li>
							<li>Robo de información privada</li>
							<li>Espionaje industrial</li>
							<li>Robo de identidad</li>
							<li>Minería de Bitcoins</li>
							<li>BOTNETs</li>
							<li>Otros</li>
						</ul>
					</section>
					<section>
						<h2>Como piensa un Atacante?</h2>
						<ul>
							<li>Buscar el camino más fácil</li>
							<li>Formas de penetrar:</li>
							<ol>
								<li>Adivinar o descifrar contraseñas</li>
								<li>Explotar vulnerabilidades del sistema</li>
								<li>Interceptar comunicaciones</li>
								<li>Ingeniería social</li>
							</ol>
						</ul>
						<p>Comunmente se utiliza una combinación de las anteriores.</p>
					</section>
					<section>
						<h2>Motivación</h2>
						<ul>
							<li>El hacking ya no es una travesura</li>
							<li>El crimen organizado funciona como un negocio tradicional</li>
							<ul>
								<li>"Buen rendimiento"</li>
								<li>"Bajo riesgo"</li>
							</ul>
						</ul>
					</section>
					<section>
						<h2>Áreas de ataque</h2>
						<ul>
							<li>Aplicacion Web</li>
							<li>WebServices</li>
							<li>Servidor Web y sus módulos</li>
							<li>Framework / CMS</li>
							<li>Plugins</li>
							<li>Otros servicios</li>
						</ul>
					</section>
					<section>
						<h2>Actualidad Hacker</h2>
					</section>
					<section data-background="images/anonymous.jpg">
					</section>
					<section data-background="images/lulzsec.jpg">
					</section>
					<section data-background="images/hacker.jpg">
					</section>
				</section>

				<section>
					<section>
						<h1>OWASP</h1>
						<h2>Open Web Application Securit Project</h2>
						<img src="images/owasp_logo.png" alt="market share">
						<p><a href="https://www.owasp.org/">https://www.owasp.org/</a></p>
					</section>
					<section data-background="#4d7e65">
						<p><b>OWASP</b> es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP</p>
					</section>
					<section data-background="#4d7e65">
						<p><b>OWASP</b> desde año 2001 organiza diferentes actividades, reuniones de todos sus miembros, eventos, conferencias de seguridad y fomenta la creación de proyectos para mejorar la seguridad de los sistemas.</p>
					</section>
				</section>

				<section>
					<section>
						<h1>Top 10 de OWASP</h1>
					</section>
					<section>
						<h2>A1 Injection</h2>
						<p>Corresponde a la inyección de código, siendo las inyecciones SQL una de las más comunes.</p>
					</section>
					<section>
						<h2>A2 Broken Authentication and Session Management</h2>
						<p>Corresponde al mal manejo de las sesiones en aquellas aplicaciones que utilizan autenticación.</p>
					</section>
					<section>
						<h2>A3 Cross-Site Scripting (XSS)</h2>
						<p>Ocurre cuando existe validación pobre de la información ingresada por el atacante.</p>
					</section>
					<section>
						<h2>A4 Insecure Direct Object References</h2>
						<p>Puede derivar en un acceso no autorizado a información crítica debido a errores en el diseño o desarrollo.</p>
					</section>
					<section>
						<h2>A5 Security Misconfiguration</h2>
						<p>Corresponde a configuraciones no adecuadas que pueden impactar en la seguridad de la propia aplicación.</p>
					</section>
					<section>
						<h2>A6 Sensitive Data Exposure</h2>
						<p>Se refiere a la protección incorrecta de datos críticos tales como, por ejemplo, números de tarjetas de crédito, contraseñas, entre otros.</p>
					</section>
					<section>
						<h2>A7 Missing Function Level Access Control</h2>
						<p>Corresponde a la falta de controles desde el servidor, permitiendo a un posible atacante acceder a funciones a las que no debería.</p>
					</section>
					<section>
						<h2>A8 Cross-Site Request Forgery (CSRF)</h2>
						<p>Permite a un atacante generar peticiones sobre una aplicación vulnerable a partir de la sesión de la víctima.</p>
					</section>
					<section>
						<h2>A9 Using Known Vulnerable Components</h2>
						<p>Corresponde a la explotación de librerías, frameworks y otros componentes vulnerables por parte de un atacante con el fin de obtener acceso o combinar con otros ataques.</p>
					</section>
					<section>
						<h2>A10 Unvalidated Redirects and Forwards</h2>
						<p>Los atacantes aprovechan el uso de redirecciones de sitios web a otros sitios utilizando información no confiable (untrusted) para redirigir a las víctimas a sitios de phishing o que contienen malware.</p>
					</section>
				</section>
				
				<section>
					<section>
						<h2>A1 Injection</h2>
					</section>
					<section data-background="#8c4738">
						<p><b>Inyección SQL</b> es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.</p>
						<p>El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro.</p>
					</section>
					<section>
						<h3>Inyección SQL</h3>
						<pre class="fragment"><code data-trim contenteditable>
"SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';"
						</code></pre>
						<pre class="fragment"><code>
' or '1'='1
						</code></pre>
						<pre class="fragment"><code data-trim contenteditable>
"SELECT * FROM usuarios WHERE nombre = '' or '1'='1';"
						</code></pre>
					</section>
					<section>
						<h3>Inyección SQL</h3>
						<pre class="fragment"><code data-trim contenteditable>
"SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';"
						</code></pre>
						<pre class="fragment"><code>
x'; DROP TABLE usuarios; --
						</code></pre>
						<pre class="fragment"><code data-trim contenteditable>
"SELECT * FROM usuarios WHERE nombre = 'x'; DROP TABLE usuarios; --';"
						</code></pre>
					</section>
					<section data-background="#4d7e65">
						<h1>DEMO</h1>
						<h3>Inyección SQL</h3>
					</section>
					<section>
						<h2>Blind SQL Injection</h2>
					</section>
					<section data-background="#8c4738">
						<p><b>Blind SQL Injection</b> también conocido como Inyección de SQL a ciegas. La idea es basarse en los comportamiento de las consultas que pueden dar dos posibles resultados <b>True</b> o <b>False</b></p>
					</section>
					<section>
						<h3>Blind SQL Injection</h3>
						<pre class="fragment"><code data-trim contenteditable>
http://dominio.com/noticia.php?id=2
						</code></pre>
						<pre class="fragment"><code data-trim contenteditable>
SELECT titulo, descripcion FROM noticia WHERE ID = 2
						</code></pre>
						<pre class="fragment"><code data-trim contenteditable>
http://dominio.com/noticia.php?id=2 and 1=2
						</code></pre>
						<pre class="fragment"><code data-trim contenteditable>
SELECT titulo, descripcion FROM noticia WHERE ID = 2 and 1=2
						</code></pre>
						<pre class="fragment"><code data-trim contenteditable>
http://dominio.com/noticia.php?id=2 and 1=1
						</code></pre>
						</section>
				</section>

				<section>
					<section>
						<h2>A3 Cross-Site Scripting (XSS)</h2>
					</section>
					<section data-background="#8c4738">
						<p><b>XSS</b> o Cross-Site Scripting permite a una tercera persona inyectar código JavaScript en páginas web.</p>
						<p>XSS es un vector de ataque que puede ser utilizado para robar información delicada, secuestrar sesiones de usuario, y comprometer el navegador, subyugando la integridad del sistema. Las vulnerabilidades XSS han existido desde los primeros días de la Web.</p>
					</section>
					<section data-background="#8c4738">
						<ul>
							<li><b>Persistente</b>: este tipo de XSS comúnmente filtrado, y consiste en embeber código HTML peligroso en sitios que lo permitan; incluyendo así etiquetas como 'script' o 'iframe'.</li><br />
							<li><b>Reflejada</b>: este tipo de XSS consiste en modificar valores que la aplicación web utiliza para pasar variables entre dos páginas, sin usar sesiones y sucede cuando hay un mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra cabecera HTTP (en algunos navegadores y aplicaciones web, esto podría extenderse al DOM del navegador).</li>
						</ul>
					</section>
					<section>
						<h3>Cross-Site Scripting</h3>
						<pre class="fragment"><code data-trim contenteditable>
&lt;body onload=alert('test1')>
						</code></pre>
						<pre class="fragment"><code>
&lt;b onmouseover=alert('Wufff!')>click me!</b>
						</code></pre>
						<pre class="fragment"><code data-trim contenteditable>
&lt;img src="http://url.to.file.which/not.exist" onerror=alert(document.cookie);>
						</code></pre>
					</section>
					<section>
						<h4>Malformación en Tag IMG</h4>
						<pre class="fragment"><code data-trim contenteditable>
&lt;IMG """>&lt;SCRIPT>alert("XSS")&lt;/SCRIPT>">
						</code></pre>
						<h4>End title tag </h4>
						<pre class="fragment"><code>
&lt;/TITLE>&lt;SCRIPT>alert("XSS");&lt;/SCRIPT>
						</code></pre>
						<h4>Hex encoding </h4>
						<pre class="fragment"><code data-trim contenteditable>
&lt;A HREF="http://0x42.0x0000066.0x7.0x93/">XSS&lt;/A>
						</code></pre>
					</section>
					<section data-background="#4d7e65">
						<h1>DEMO</h1>
						<h3>Cross-Site Scripting (XSS)</h3>
					</section>
				</section>
				
				<section>
					<section>
						<h2>A5 Security Misconfiguration</h2>
					</section>
					<section data-background="#8c4738">
						<p>Corresponde a configuraciones no adecuadas que pueden impactar en la seguridad de la propia aplicación.</p>
						<p>Para ello es necesario aplicar siempre los <b>PRINCIPIOS DE FORTIFICACIÓN DE SISTEMAS.</b></p><br />
						<ul>
							<li class="fragment">Mínimo Punto de Exposición (MPE)</li>
							<li class="fragment">Mínimos Privilegios Posibles (MPP)</li>
							<li class="fragment">Defensa en Profundidad (DP)</li>
						</ul>
					</section>
					<section>
						<h4>Principios de fortificación de sistemas</h4>
						<h2>Mínimo Punto de Exposición</h2>
						<p>Un servidor sólo debe exponerse en lo que sea estrictamente necesario para su rol, es decir, un Servidor Web no debe tener cargado el software de impresión y mucho menos ejecutando demonios de servicio de impresión en red.</p>
					</section>
					<section>
						<h4>Principios de fortificación de sistemas</h4>
						<h2>Mínimos Privilegios Posibles</h2>
						<p>Todo componente dentro de un sistema debe ejecutarse con los privilegios necesarios para cumplir con su rol y nada más. Un sitio web nunca debe correr como root porque no es necesario para dar servicio y lo único que puede suceder es que un atacante que consiga vulnerar el sitio obtenga esos privilegios de root en el sistema.</p>
					</section>
					<section>
						<h4>Principios de fortificación de sistemas</h4>
						<h2>Defensa en Profundidad</h2>
						<p>Se deben implementar todas las medidas de seguridad que sean posibles teniendo en cuanta dos factores:</p>
						<ol>
							<li>Una medida de seguridad no debe anular a otra. El ejemplo más claro de esto es cifrar las comunicaciones e instalar un Sistema de Detección de Intrusiones de Red (NIDS), ya que el segundo no podría detectar ataques por red si se usan los canales cifrados.</li>
							<li>Las medidas de protección no pueden anular la utilidad de un sistema. Si las medidas de protección hacen que el sistema deje de dar servicio en tiempo útil entonces no son medidas viables.</li>
						</ol>
					</section>
					<section>
						<h2>Más recomendaciones</h2>
						<ul>
							<li class="fragment">Nunca dejar las configuraciones por defecto</li>
							<li class="fragment">No utilizar contraseñas por defecto ni débiles</li>
							<li class="fragment">Deshabilitar todos aquellos servicios que no se utilicen</li>
							<li class="fragment">Mantener el sistema sctualizado</li>
							<li class="fragment">Leer boletines de seguridad y estar pendiente de nuevas vulnerabilidades</li>
						</ul>
					</section>
					<section data-background="#4d7e65">
						<h1>DEMO</h1>
						<h3>Security Misconfiguration</h3>
						<ul>
							<li>inurl:"/view/index.shtml"</li>
							<li>filetype:log "your password is"</li>
							<li>intitle:"MRTG Index Page"</li>
							<li> inurl:/cgi-bin/bindgraph.cgi</li>
							<li>intitle:"Statistics of" inurl:/(cgi-bin|awstats)/awstats.pl?config=</li>
						</ul>
					</section>
				</section>
				<section>
					<h2>Resumen TOP 10 de OWASP</h2>
					<img src="images/OWASP-top10-table.png" alt="market share">
				</section>
				<section>
					<h2>Mas allá del TOP 10 de OWASP</h2>
					<ul>
						<li>Clickjacking</li>
						<li>Fallos de seguridad</li>
						<li>DoS / DDoS</li>
						<li>Expression Languaje Injection</li>
						<li>Filtrado de información / Manejo incorrecto de errores</li>
						<li>Insuficiente bloqueo de bots y ataques automatizados</li>
						<li>Registros/Logs insuficientes</li>
						<li>Falta de sistemas de deteccion y respuesta a ataques</li>
						<li>Ejecución de archivos maliciosos</li>
						<li>Asignaciones masivas</li>
						<li>Privacidad de los usuarios</li>
					</ul>
				</section>
				<section>
					<section>
						<h2>Principios para desarrollar código seguro</h2>
						<ul>
							<li>Diseños simples. KISS (del inglés Keep It Simple, Stupid! : «Manténlo sencillo, ¡Estúpido!»)</li>
							<li>Utilización y reutilización de componentes de confianza. Frameworks!</li>
							<li>Nunca confiar en las entradas de datos</li>
							<li>Defensa en profundidad</li>
							<li>Minimizar la superficie de ataque (también a nivel web)</li>
						</ul>
					</section>
					<section>
						<h2>Principios para desarrollar código seguro</h2>
						<ul>
							<li>Controlar los errores de manera elegante (DB, WebServer, etc)</li>
							<li>Tan seguros como el eslabón más débil</li>
							<li>Mantener el software de terceros actualizado</li>
							<li>La seguridad por oscuridad <b>no funciona</b></li>
							<li>Minimizar los privilegios:</li>
								<ul>
									<li>Usuarios del SO</li>
									<li>Usuarios de las BDs</li>
									<li>Usuarios dentro de la aplicación</li>
								</ul>
							<li>Testing lo mas exhaustivo posible</li>
							<li>Los Firewalls y la Criptografía no son una panacea</li>
						</ul>
					</section>
				</section>
				<section>
					<section>
						<h2>Estándar de seguridad</h2>
					</section>
					<section>
						<h3>Interacción con el usuario</h3>
						<ul>
							<li>Autenticación</li>
							<li>Autorización</li>
							<li>Validación de datos</li>
						</ul>
					</section>
					<section>
						<h3>Manejo y protección de datos</h3>
						<ul>
							<li>Transporte</li>
							<li>Almacenamiento</li>
							<li>Errores</li>
						</ul>
					</section>
					<section>
						<h3>Administración de entornos</h3>
						<ul>
							<li>Configuración</li>
							<li>Gestión de cuentas</li>
						</ul>
					</section>
					<section>
						<h3>Monitoreo</h3>
						<ul>
							<li>Logs</li>
							<li>IDS/IPS</li>
							<li>Control periodico de la carpeta publica</li>
							<li>Herramientas adicionales</li>
						</ul>
					</section>
				</section>
				<section>
					<h2>Buenas Prácticas</h2>
					<ul>
						<li>Organización</li>
						<li>Revisión de código fuente</li>
						<li>Seguridad y test de penetración</li>
						<li>HTTPS / SSL / TLS</li>
					</ul>
				</section>
				<section>
					<h2>Problemas conocidos</h2>
				</section>

				<section>
				<h1>JUCSE 2013</h1>
				<h3>Seguridad en Aplicaciones Móviles</h3>
				<p>
					<small>por <a href="#">Francisco J Capdevila</a> / <a href="http://twitter.com/pancho_jay">@pancho_jay</a><br>
					y <a href="http://caceriadespammers.com.ar">Daniel Maldonado </a> / <a href="http://twitter.com/elcodigok">@elcodigok</a></small>
				</p>
				</section>
				<section>
					<h3>Motivación</h3>
					<ul>
						<li class="fragment">Las <b>Apps</b> se presentan como una importante línea de negocio.</li>
						<li class="fragment">Constantes mejoras en sus tecnologías.</li>
						<li class="fragment">La información sensible se almacena y se transmite a través de apps</li>
					</ul>
				</section>
				<section>
					<h3>Para tener en cuenta</h3>
					<ul>
						<li class="fragment">De media, los usuarios de smartphone pasan <b>2,7 horas diarias</b> utilizando las redes sociales desde sus dispositivos móviles</li>
						<li class="fragment">El <b>90%</b> de las aplicaciones descargadas no se utilizan más de 10 veces.</li>
						<li class="fragment">El <b>25%</b> de los propietarios de smartphones está permanentemente conectado a internet a través de su dispositivo móvil.</li>
					</ul>
				</section>
				<section>
					<h3>División del mercado</h3>
					<img src="images/market-shares1.jpg" alt="market share">
				</section>
				<section>
					<h2>Enlaces de Interés</h2>
					<ul>
						<li><a href="https://github.com/elcodigok/jornada2013">Presentación en GitHub</a></li>
						<li><a href="https://www.owasp.org/index.php/Main_Page">OWASP</a></li>
						<li><a href="http://caceriadespammers.com.ar">Cacería de Spammers</a></li>
					</ul>
				</section>
				<section>
					<section>
						<h1>Top 10 de OWASP Mobile</h1>
						<ul>
							<li>Independientes de la plataforma</li>
							<li>Focalizado en areas de riesgo en lugar de vulnerabilidades puntuales</li>
						</ul>
					</section>
					<section>
						<h2>M1 Insecure Data Storage</h2>
					</section>
					<section>
						<h2>M2 Weak Server Side Controls</h2>
					</section>
					<section>
						<h2>M3 Insufficient Transport Layer Protection</h2>
					</section>
					<section>
						<h2>M4 Client Side Injection</h2>
					</section>
					<section>
						<h2>M5 Poor Authorization and Authentication</h2>
					</section>
					<section>
						<h2>M6 Improper Session Handling</h2>
					</section>
					<section>
						<h2>M7 Security Decisions via Untrusted Inputs</h2>
					</section>
					<section>
						<h2>M8 Side Channel Data Leakage</h2>
					</section>
					<section>
						<h2>M9 Broken Cryptography</h2>
					</section>
					<section>
						<h2>M10 Sensitive Information Disclosure</h2>
					</section>
				</section>
				<section>
					<section>
						<h2>M1 Insecure Data Storage</h2>
					</section>
					<section data-background="#8c4738">
						<p><b>Almacenamiento Inseguro de Datos</b><br>Información sensible es almacenada sin protección alguna o bien con seguridad débil.</p>
						<ul>
							<li>Información sensible</li>
								<ul>
									<li>Información de autenticación</li>
									<li>Información de negocio</li>
									<li>Información privada</li>
								</ul>
							<li>Aplica a datos almacenados localmente y en la nube</li>
							<li>Generalmente resultado de:</li>
								<ul>
									<li>No encriptar los datos</li>
									<li>Caché de datos</li>
									<li>Permisos débiles o globales</li>
									<li>No uso de las buenas prácticas de la plataforma</li>
								</ul>
						</ul>
					</section>
					<section>
						<h3>Ejemplo</h3>
						<div style="width: 100%;">
							<div style="width: 200px; float: left;">
								<img src="images/android1.png" alt="market share">
							</div>
							<div style="margin-left: 220px; float: right;">
								<pre><code data-trim class="java">
static public void saveCredentials(Context context, String username,
			String password) {

		SharedPreferences credentials = context.getSharedPreferences(
				"userinfo", Context.MODE_WORLD_READABLE); // MUY MALA IDEA
		SharedPreferences.Editor editor = credentials.edit();
		editor.putString("username", username); // Un poco mejor
		editor.putString("password", password);
		editor.putBoolean("remember", true);
		editor.commit();
	}
								</code></pre>
							</div>
						</div>
					</section>
				</section>
				<section>
					<section>
						<h2>M2 Weak Server Side Controls</h2>
					</section>
					<section data-background="#8c4738">
						<ul>
							<li>Aplica a los servicios de backend</li>
							<li>No corresponde a aplicaciones moviles per se</li>
							<li>No se puede confiar en el cliente</li>
							<li>Afortunadamente son problemas bien conocidos</li>
							<li>Los controles deben ser re-chequeados (ej: Comunicaciones fuera de banda)</li>
							<li>OWASP Top 10</li>
							<li>OWASP Cloud Top 10</li>
							<li>OWASP Web Services Top 10</li>
						</ul>
					</section>
				</section>
				<section>
					<section>
						<h2>M3 Insufficient Transport Layer Protection</h2>
					</section>
					<section data-background="#8c4738">
						<img src="images/osi.png" alt="market share">
					</section>
					<section>
						<h3>Causas</h3>
						<ul>
							<li>Falta total de cifrado para la información transmitida</li>
							<li>Cifrado débil</li>
							<li>Cifrado fuerte, pero ignorando advertencias de seguridad</li>
							<ul>
								<li>Ignorar errores en la validacion de certificados</li>
								<li>Ante fallos sucesivos, enviar en texto plano</li>
							</ul>
						</ul>
						<h3>Riesgos</h3>
							<ul>
								<li>Ataque MITM</li>
								<li>Tampering with data in transit</li>
								<li>Pérdida de confidencialidad (Integridad, autenticidad)</li>
							</ul>
					</section>
					<section>
						<h3>Ejemplo:</h3>
						Google ClientLogin Authentication Protocol
						<ul>
							<li>Se envia el encabezado de autorización sobre HTTP</li>
							<li>Cuando los usuarios se conectand via WI-FI
							las aplicaciones envian automaticamente el token en un intento
							de sincronizar información con el server</li>
							<li>Un atacante puede sniffear el tráfico e impersonar al usuario</li>
						</ul>
					</section>
					<section>
						<h3>Prevención</h3>
						<ul>
							<li>Asegurarse que toda la información privada se transmita cifrada</li>
							<li>Esto incluye información sobre la red móvil, Wi-Fi, Bluetooth y NFC.</li>
							<li>Cuando se disparan excepciones de seguridad, estas no deben ser ignoradas</li>
						</ul>
					</section>
				</section>
				<section>
					<section>
						<h2>M4 Client Side Injection</h2>
					</section>
					<section data-background="#8c4738">
						<h3>Causas</h3>
						<ul>
							<li>Aplicaciones usando librerias del browser</li>
								<ul>
									<li>Puramente Web</li>
									<li>Hibridas</li>
								</ul>
							<li>Algunas cosas conocidas</li>
								<ul>
									<li>XSS e inyección HTML</li>
									<li>Inyección SQL</li>
								</ul>
							<li>Nuevas combinaciones</li>
								<ul>
									<li>Envío de SMS y llamados</li>
									<li>Compra de aplicaciones sin consentimiento</li>
								</ul>
						</ul>
						<h3>Riesgos</h3>
						<ul>
							<li>Dispositivo</li>
							<li>Fraude telefónico</li>
							<li>Escalada de privilegios</li>
						</ul>
					</section>
					<section>
						<h3>Prevención</h3>
						<ul>
							<li>Sanitizar o escapar los datos no confiables antes de ejecutarlos o renderizarlos</li>
							<li>Usar consultas preparadas para las llamadas a la DB. La concatenación no es buena.</li>
							<li>Minimizar el uso de funcionalidades nativas atadas a funcionalidades web hibridas</li>
						</ul>
					</section>
				</section>
				<section>
					<section>
						<h2>M5 Poor Authorization and Authentication</h2>
					</section>
					<section data-background="#8c4738">
						<h3>Causas</h3>
						<ul>
							<li>Parte móvil, parte de la arquitectura.</li>
							<li>Algunas aplicaciones se basan en algunso valores inmutables (IMEI, MAC, IMSI, UUID), potencialmente comprometidos.</li>
							<li>Los identificadores a nivel hardware persisten a la limpieza y reseteo a fabrica.</li>
							<li>Añadir información de contexto suele ayudar, pero no es suficiente.</li>
						</ul>
						<h3>Riesgos</h3>
						<ul>
							<li>Escalada de privilegios</li>
							<li>Acceso no autorizado</li>
							<li>Suplantación de identidad</li>
						</ul>
					</section>
					<section>
						<h3>Prevención</h3>
						<ul>
							<li>La información de contexto puede mejorar las cosas, pero sólo como parte de una implementación multifactor</li>
							<li>La comunicación Out-of-band no es suficiente cuando se trata del mismo dispositivo</li>
							<li>Nunca usar el ID del dispositivo o del usuario como identificador único.</li>
						</ul>
					</section>
				</section>
				<section>
					<section>
						<h2>M6 Improper Session Handling</h2>
					</section>
					<section data-background="#8c4738">
						<h3>Causas</h3>
						<ul>
							<li>Las sesiones en dispositivos duran mucho más.</li>
							<li>Por qué? Usabilidad y conveniencia</li>
							<li>Las aplicaciones mantienen la sesión mediante:</li>
								<ul>
									<li>HTTP cookies</li>
									<li>OAuth tokens</li>
									<li>SSO authentication services</li>
								</ul>
							<li>Usar los identificadores de dispositivo como token de sesión es MALA idea.</li>
						</ul>
						<h3>Riesgos</h3>
						<ul>
							<li>Escalada de privilegios</li>
							<li>Acceso no autorizado</li>
							<li>Evitar licencias y pagos</li>
						</ul>
					</section>
					<section>
						<h3>Prevención</h3>
						<ul>
							<li>No es malo forzar al usuario a reautenticarse seguido.</li>
							<li>Asegurar que los tokens pueden ser anulados en caso de pérdida o robo del dispositivo.</li>
							<li>Usar sistemas de alta entropía a la hora de generar los tokens.</li>
						</ul>
					</section>
				</section>
				<section>
					<section>
						<h2>M7 Security Decisions via Untrusted Inputs</h2>
					</section>
					<section data-background="#8c4738">
						<h3>Causas</h3>
						<ul>
							<li>Pueden ser utilizadas para hacer bypass de permisos y modelos de seguridad.</li>
							<li>Formas similares en cada plataforma:</li>
								<ul>
									<li>Android: Intents</li>
									<li>iOS: URL schemes</li>
								</ul>
							<li>Muchos vectores de ataque</li>
								<ul>
									<li>Aplicaciones maliciosas</li>
									<li>Inyección del lado del cliente</li>
								</ul>
						</ul>
						<h3>Riesgos</h3>
						<ul>
							<li>Escalada de privilegios</li>
							<li>Filtrado de información</li>
							<li>Consumo de recursos pagos</li>
						</ul>
					</section>
					<section>
						<h3>Ejemplo</h3>
						<a href="http://software-security.sans.org/blog/2010/11/08/insecure-handling-url-schemes-apples-ios/">Ejemplo iOS</a>
					</section>
					<section>
						<h3>Prevención</h3>
						<ul>
							<li>Comprobar los permisos de usuario cuando se ingresan datos</li>
							<li>Pedir autorización al usuario antes de permitir ciertas acciones.</li>
							<li>En los casos donde no se puedan comprobar los permisos, asegurarse de que sean necesarios pasos adicionales para iniciar acciones susceptibles</li>
						</ul>
					</section>
				</section>
				<section>
					<section>
						<h2>M8 Side Channel Data Leakage</h2>
					</section>
					<section data-background="#8c4738">
						<h3>Causas</h3>
						<ul>
							<li>Combinación de fallos en la programación y no deshabilitar algunas caracteristicas de la plataforma.</li>
							<li>Información delicada termina en lugares inesperados:</li>
								<ul>
									<li>Caché Web</li>
									<li>Keyloggers</li>
									<li>Capturas de pantalla</li>
									<li>Logs (sistema, fallos, aplicación)</li>
									<li>Directorios temporales</li>
								</ul>
							<li>Comprender lo que hacen las aplicaciones de terceros en las aplicaciones con la información del usuario</li>
								<ul>
									<li>Publicidades</li>
									<li>Sugerencias</li>
									<li>Analythics</li>
								</ul>
						</ul>
					</section>
					<section>
						<h3>Riesgos</h3>
						<ul>
							<li>Violación de la privacidad</li>
							<li>Información almacenada por tiempo indeterminado</li>
						</ul>
					</section>
					<section>
						<h3>Prevención</h3>
						<ul>
							<li>Nunca loggear credenciales, Información Personal u otros datos susceptibles en logs</li>
							<li>Eliminar datos susceptibles antes de tomar capturas de pantalla, deshabilitar el logging de telcas por campos y utilizar directivas anti-caché para el contenido web</li>
							<li>Debuggear las aplicaciones antes de liberarlas para poder observar los archivos creados, escritos y modificados.</li>
							<li>Revisar cuidadosamente las librerias de terceros y los datos a los que acceden estas.</li>
							<li>Probar las aplicaciones en todas las plataformas y versiones posibles.</li>
						</ul>
					</section>
				</section>
				<section>
					<section>
						<h2>M9 Broken Cryptography</h2>
					</section>
					<section data-background="#8c4738">
						<h3>Causas</h3>
						<ul>
							<li>Dos categorías principales</li>
								<ul>
									<li>Mala implementación de librerías de cifrado fuerte</li>
									<li>Cifrado con algoritmo propio</li>
								</ul>
							<li>Encoding is not Encryption</li>
							<li>Obfuscation is not Encryption</li>
							<li>Serialization is not Encryption</li>
						</ul>
						<h3>Riesgos</h3>
						<ul>
							<li>Perdida de la confidencialidad</li>
							<li>Escalada de privilegios</li>
							<li>Salteo de la lógica de negocio</li>
						</ul>
					</section>
					<section>
						<h3>Ejemplo</h3>
						<ul>
							<li>Guardar clave y datos cifrados en el mismo lugar no sirve de nada</li>
							<li>Utilizar cifrados fuertes y conocidos. No escribir nuevos algoritmos</li>
							<li>Usar las ventajas que tiene incorporada la plataforma</li>
						</ul>
					</section>
				</section>
				<section>
					<section>
						<h2>M10 Sensitive Information Disclosure</h2>
					</section>
					<section data-background="#8c4738">
						<h3>Causas</h3>
						<ul>
							<li>Diferenciamos entre almacenados(M1) y embebidos/hardcodeados(M10))</li>
							<li>Se puede aplicar ingeniería inversa con cierta facilidad a las aplicaciones</li>
							<li>La ofuscasión de código complica las cosas, pero no elimina el riesgo</li>
							<li>Algunas cosas que se encuentran:</li>
								<ul>
									<li>API keys</li>
									<li>Passwords</li>
									<li>Logica de negocios</li>
								</ul>
						</ul>
						<h3>Riesgos</h3>
						<ul>
							<li>Divulgación de credenciales</li>
							<li>Exposición de la propiedad intelectual</li>
						</ul>
					</section>
					<section>
						<h3>Ejemplo</h3>
						<ul>
							<li>Password universal / Backdoor</li>
							<li>Algoritmo de generación de números de serie</li>
						</ul>
					</section>
					<section>
						<h3>Prevención</h3>
						<ul>
							<li>Las API keys privadas, son privadas, hay que mantenerlas alejadas del cliente.</li>
							<li>Mantener la lógica de negocio susceptible y propietaria en el server</li>
							<li>No hay razón legitima para hardcodear una contraseña (Si existe, entonces hay otros problemas)</li>
						</ul>
					</section>
				</section>
				<section>
					<h1>Preguntas?</h1>
				</section>
				<section>
					<h1>JUCSE 2013</h1>
					<h3>muchas gracias!</h3>
					<p>
						<small>por <a href="#">Francisco J Capdevila </a> / <a href="http://twitter.com/pancho_jay">@pancho_jay</a></small>
					</p>
					<p>
						<small>y <a href="http://caceriadespammers.com.ar">Daniel Maldonado </a> / <a href="http://twitter.com/elcodigok">@elcodigok</a></small>
					</p>
				</section>
			</div>

		</div>

		<script src="lib/js/head.min.js"></script>
		<script src="js/reveal.min.js"></script>

		<script>

			// Full list of configuration options available here:
			// https://github.com/hakimel/reveal.js#configuration
			Reveal.initialize({
				controls: true,
				progress: true,
				history: true,
				center: true,

				theme: Reveal.getQueryHash().theme, // available themes are in /css/theme
				transition: Reveal.getQueryHash().transition || 'default', // default/cube/page/concave/zoom/linear/fade/none

				// Optional libraries used to extend on reveal.js
				dependencies: [
					{ src: 'lib/js/classList.js', condition: function() { return !document.body.classList; } },
					{ src: 'plugin/markdown/marked.js', condition: function() { return !!document.querySelector( '[data-markdown]' ); } },
					{ src: 'plugin/markdown/markdown.js', condition: function() { return !!document.querySelector( '[data-markdown]' ); } },
					{ src: 'plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } },
					{ src: 'plugin/zoom-js/zoom.js', async: true, condition: function() { return !!document.body.classList; } },
					{ src: 'plugin/notes/notes.js', async: true, condition: function() { return !!document.body.classList; } }
				]
			});

		</script>

	</body>
</html>