Top 10 de OWASP de vulnerabilidades en aplicaciones móviles
De acuerdo al ranking, el top 10 de este año es el siguiente:
- M1 Weak Server Side Controls: corresponde a las inyecciones de código. Los atacantes buscan vulnerabilidades en los servidores para poder explotarlas inyectando códigos maliciosos.
- M2 Insecure Data Storage: se trata mayormente de dispositivos móviles perdidos y/o robados, aunque también está la posibilidad de acceder a dichos dispositivos sin la necesidad de tenerlos físicamente a través de exploits in-the wild y/o distintos códigos maliciosos.
- M3 Insufficient Transport Layer Protection: cuando se desarrolla una aplicación normalmente los datos son intercambiados entre un cliente y un servidor. Si la codificación de dicha aplicación es débil, existen diversas técnicas para visualizar datos sensibles mientras viajan entre el cliente y el servidor.
- M4 Unintended Data Leakage: las aplicaciones móviles tienen que interactuar con sistemas operativos, infraestructuras digitales, hardwares nuevos, etc. que no son propiedad de los desarrolladores, por lo que no pueden controlar cambios y/o fallas que estén por fuera de sus aplicaciones. En este sentido, es posible que se pierdan datos si no se realizan evaluaciones para entender cómo las aplicaciones interactúan con todos los elementos de los dispositivos.
- M5 Poor Authorization and Authentication: existen patrones de autenticación considerados inseguros y que deben ser evitados. Algunos ejemplos son: “Recuérdame” (cuando existe la opción de que la aplicación guarde la contraseña de forma automática), la falta de tokens de seguridad, etc.
- M6 Broken Cryptography: en algunas ocasiones, los métodos de encriptación de datos se vuelve una práctica casi obsoleta. Crear y utilizar su propio algoritmo de encriptación y utilizar algoritmos desfasados son ejemplos de malas prácticas.
- M7 Client Side Injection: siempre y cuando exista la posibilidad de que usuarios externos, internos y la aplicación misma puedan enviar datos no confiables al sistema, un atacante podría inyectar exploits sencillos a las aplicaciones móviles, lo que causa un potencial riesgo de robo de información.
- M8 Security Decisions Via Untrusted Inputs: para entender mejor este caso, tenemos que entender el concepto de IPC (Comunicación entre procesos en inglés). Los procesos entre aplicaciones y sistemas operativos comparten espacios de memoria para permitir la comunicación y sincronización entre los mismos. Para minimizar los riesgos de ataque, la aplicación móvil debería permitir solamente comunicación con otras aplicaciones confiables, las acciones sensibles deberían requerir la interacción del usuario, la información sensible no debería ser enviada a través de IPC, etc.
- M9 Improper Session Handling: el manejo incorrecto de la información es muy similar a la autenticación débil (M5). Es tan importante manejar bien la sesión una vez abierta como establecer la misma sesión. Si no se aplican cuidados sencillos pero importantes como validar la sesión a nivel servidor y no solamente a nivel cliente, establecer un tiempo de expiración de sesión o la creación de tokens seguros puede que terceros no autorizados accedan a información de otros usuarios.
- M10 Lack of Binary Protections: la falta de protección a nivel binario facilita el ataque a través de ingeniería reversa. Si un programador no es creador del código de su programa a nivel binario y no lo tiene protegido, un atacante puede fácilmente buscar fallas en el código, copiarlo, hacer cambios menores y revender una aplicación móvil nueva como si fuese suya.
La gran mayoría de las vulnerabilidades pueden ser evitadas si se llevan a cabo las consideraciones mencionadas en cada uno de los puestos del ranking. Sin embargo, muchas veces estos cuidados son ignorados por razones ajenas a los usuarios (costos, necesidad de lanzar la aplicación antes que la competencia, etc.), pero estas deficiencias pueden ser contrarrestadas si nos informamos y estamos atentos a reportes como el Top 10 de OWASP.
Las vulnerabilidades en los sistemas siguen siendo una de las mayores preocupaciones de seguridad más allá de todo el trabajo que se hace para evitarlas. Desde ESET Latinoamérica, teniendo en cuenta esta problemática, contamos con ESET Security Services donde ofrecemos servicios de auditoría de seguridad para aquellas organizaciones que deseen evaluar el estado de su seguridad.
El post Top 10 de OWASP de vulnerabilidades en aplicaciones móviles aparece primero en We Live Security en Español.
¿Cómo usar Google Drive sin conexión?
Google Drive es el sistema de almacenamiento en la nube que Google nos ofrece a todos los usuarios; un sistema que, además de almacenar archivos, nos ofrece la posibilidad de editar documentos de texto, presentaciones y hojas de cálculo (ofreciendo así una completa suite ofimática en la nube).
Aunque muchos usuarios no lo sepan, es posible usar Google Drive sin conexión, una facilidad muy interesante para trabajar desde un tren o un avión y, una vez recuperada la conexión, subir los cambios a la nube y refrescar así los documentos que hayamos modificado.
Para poder trabajar con Google Drive sin conexión tendremos que usar Google Chrome o un equipo con Chrome OS y, partir de ahí, acceder a la web de Google Drive y activar la opción “sin conexión” en todos aquellos equipos que queramos usar en esta modalidad.
Un truco sencillo que nos permitirá sacarle partido al servicio y hacer algo más productivos nuestros viajes.
Publicar redes a traves de un túnel OpenVPN systemadmin.es by Jordi Prats
El diagrama de la red seria el siguiente:
Red conectada a traves de un cliente OpenVPN
Para ello deberemos usar la directiva iroute para indicar que dicha red cuando llegue a OpenVPN deberá también ser cifrada y debe llegar al cliente:
iroute 192.168.6.0 255.255.255.0
Dicha opción puede ser indicada en la configuración de OpenVPN o bien en la configuración de cada cliente (client-config-dir). Por lo tanto, podemos añadir dicha directiva en la configuración del cliente que tiene detrás dicha red:
ifconfig-push 192.168.101.12 255.255.255.0 iroute 192.168.6.0 255.255.255.0
En la configuración del servidor OpenVPN deberemos añadir la ruta:
route 192.168.6.0 255.255.255.0 192.168.101.12
Y por lo tanto, en cada cliente que necesite mandar paquetes a dicha red deberemos publicar también la correspondiente ruta (vpn_gateway automáticamente se transforma en la IP del servidor OpenVPN dentro del túnel):
push "route 172.18.1.0 255.255.255.0 vpn_gateway"
Tags: OpenVPN
Relacionados
- Usar chroot en OpenVPN
- Seguridad en redes wireless mediante OpenVPN (II)
- Seguridad en redes wireless mediante OpenVPN (I)
- Revocar certificados en OpenVPN
- OpenVPN en Raspberry Pi: SIOCSIFADDR: No such device
Publicar redes a traves de un túnel OpenVPN was first posted on February 12, 2014 at 9:12 am.
Ideas y trucos para sincronizar música en Android
Existen varias aplicaciones que nos permiten escuchar nuestra biblioteca musical en varios dispositivos, ya sea que queramos descargar la música a nuestros smartphones, sincronizar iTunes con Android, o disfrutar de la misma biblioteca musical en todos nuestros gadgets, ten por seguro que hay una solución.
Actualmente contamos con montones de servicios de música en streaming, tiendas en linea que venden discos y canciones, artistas que ofrecen su música para descarga gratuita o con modelos “pague lo que usted quiera”, etc., son tantas las fuentes que tenemos para obtener música y tantos los medios para escucharla, que ya casi solo los coleccionistas compran CDs, y los hipsters, vinilos.
No importa a donde vayamos, podemos disfrutar de nuestra música en nuestros ordenadores, smartphones, tablets, consolas de videojuegos, reproductores portátiles, y un sin fín de gadgets más. Pero, la experiencia mejora aún más cuando podemos encontrar la manera de que nuestro contenido esté disponible por igual en todos. Ahorrarnos el tedioso proceso de copiar canciones en este dispositivo, y luego en otro, y en otro, que puede tomarnos horas, o días, es algo que sin duda se agradece. Por suerte existen muchos reproductores de música, servicios de almacenamiento en la nube, y de reproducción de música en streaming, que nos ofrecen varias alternativas para sincronizar toda nuestra música a través de múltiples dispositivos.
En esta ocasión vamos a repasar algunos de estos servicios, y de que manera podemos aprovecharlos para sincronizar música con nuestros dispositivos Android, y así llevar nuestros discos a donde sea que vayamos.
Google Play Music
Es una de las maneras más sencillas de sincronizar música, ya viene instalada en varios dispositivos con Android de stock y es una descarga gratuita desde la Play Store. El servicio de música en streaming de Google no es el más popular del mundo, pero es bastante eficiente. No solo puedes escuchar, descargar y comprar música, sino que puedes subir hasta 20 mil canciones de tu propio disco duro y escucharlas vía streaming desde la web, o desde cualquier dispositivo con Android. Google Play Music es sumamente simple, subes tu música a la nube de Google y ya la tienes disponible en cualquier momento, también puedes descargar las canciones en tu smartphone o tablet para luego escucharlas sin conexión.
Beat cloud & music player
Beat es un reproductor de música para Android que nos permite escuchar música que tengamos almacenada en Google Drive o Dropbox. La aplicación se conecta a nuestras cuentas de ambos servicios y es capaz de reproducir vía streaming los archivos de audio que tenemos almacenados en la nube. Aunque beat también funciona como un reproductor convencional para reproducir los medios locales, la posibilidad de hacer streaming desde estos dos servicios (más en camino) lo hacen una herramienta genial.
doubleTwist AirSync
doubleTwist AirSync es una versión premium del popular reproductor de música para Android, nos permite sincronizar de forma inalámbrica nuestra música, fotos y vídeos de iTunes ya sea con Mac o PC a través de la red WiFi doméstica. También puede hacerlo vía AirPlay en el Apple TV. Incluso puedes transmitir música a tus consolas de videojuegos. Solo tienes que instalar un cliente para escritorio compatible con OS X 10.5 o superior, y Windows XP, Vista, 7 y 8.
Rdio y Spotify
Estos dos ultra conocidos servicios de música en streaming también nos permiten sincronizar nuestra música, ya que con las suscripciones de pago de cada una, podemos descargar directamente en nuestro dispositivo, las canciones, discos o listas de reproducción que tenemos guardadas, para escuchar cuando estemos offline. Si estás por quedarte sin señal, o si vas a salir y no tienes datos móviles, sincroniza tu lista de reproducción actual y Rdio la continua reproduciendo. Spotify hace exactamente lo mismo, y ambas suscripciones cuestan casi lo mismo, le elección es solo una cuestión de gustos personales.
El reto de conseguir 200 GB gratuitos en la nube
Con todo el auge de los servicios en la nube y la moda del TB gratuito que empezó en Flickr, hemos pasado de suplicar MB de espacio a gestionarlo a base de GB. El cambio se ha notado mucho durante el 2013, así que a estas alturas nos hemos planteado un reto: ¿Es posible obtener 200 GB de espacio gratuito en la nube?
No hablo de espacio en un servicio dedicado a un tipo concreto de archivos, Como Flickr o Vimeo. Hablo de servicios que nos permiten tener carpetas y archivos, almacenamiento puro y duro accesible desde donde queramos y manejable a nuestra voluntad, sin límites de tamaño de fichero individual (o que los haya, pero muy permisivos). Veamos si somos capaces de juntar esos 200 GB.
Objetivo número 1: Box. Oficialmente ofrecen 10 GB de espacio gratuito, pero con el motivo de la actualización de su aplicación para iOS regalan 50 GB si te la descargas e inicias sesión con ella. Esos 50 GB no se añaden al espacio que tuviésemos antes, es un tope fijo. Ya tenemos el contador a 50 GB.
Objetivo número 2: Mega. El buenrollero de Kim Dotcom nos da otros 50 GB con la cuenta gratuita de ese servicio de almacenamiento, así que con sólo registrarnos en el servicio ya podemos subir nuestro contador a 100 GB sin mucho esfuerzo.
Podemos crear varias cuentas de usuario en un servicio, pero respetemos las normas
Llegados a este punto podemos pensar en hacer trampas y registrarnos con dos o más cuentas de usuario diferentes en estos dos servicios y acumular tantos GB como se quiera, pero vamos a seguir las reglas teniendo una cuenta de usuario por cada servicio. Además de ser algo no permitido, causa muchas incomodidades por tener que ir cerrando e iniciando sesión varias veces. Sigamos buscando almacenamiento.
Objetivo número 3: Dropbox. El servicio de almacenamiento en la nube más popular del mundo nos da 2 GB de espacio gratuito, pero podemos ampliarlo con algunas acciones. 125 MB por mencionar a Dropbox en Twitter, 125 MB por vincular el servicio con Facebook, 125 más por hacerlo en Twitter y otros 125 por seguir la cuenta oficial de Dropbox en la red, 250 MB por leer una guía de usuario, hasta 3 GB más por subir 2,5 GB de fotografías… varía mucho en función de algunas ofertas puntuales, pero las cuentas gratuitas pueden ser de hasta 16 GB. Aunque aquí ya hay que hacer mucho trabajo. Nuestro contador se pone a los 116 GB.
Algo similar pasa con Bitcasa: nos dan 10 GB de espacio gratuito, pero con algunas promociones podemos llegar hasta los 20 GB. Si seguimos exprimiendo todas estas ventajas, ya tenemos 136 GB.
A partir de aquí hay que ir cogiendo las “miguitas“ de otros servicios. Google Drive nos da 15 GB. Cubby nos da otros 5. Amazon Cloud Drive, 5 GB más. SkyDrive nos da 7 GB en la nube de Microsoft. SpiderOak nos da 2 GB, y Ubuntu One 5 GB. Si hacemos la suma de todos esos servicios y sumamos el resultado al contador, sale que hemos acumulado ya 175 GB. Nos hemos quedado cortos por 25 GB, aunque 175 GB tampoco están nada mal.
Podemos sobrepasar esos 200 GB, pero poniendo algo más de trabajo por nuestra parte
¿Podríamos llegar a esos 200 GB gratuitos si relajamos un poco más las normas? Por supuesto. Creando más de una cuenta en un mismo servicio, o contando servicios con limitaciones fuertes como MediaFire. Éste último es capaz de darnos hasta 50 GB gratuitos, pero tiene el inconveniente de no permitir archivos de más de 200 MB por miedo a ser pasto de la piratería. Si lo hubiésemos tenido en cuenta igualmente, habríamos llegado tranquilamente a los 225 GB. Reto conseguido.
También sobrepasaríamos de lejos el objetivo si nos vamos a Spotbros y empezamos a compartir archivos con alguien mediante mensajería, ya que el espacio que nos ofrecen para compartir esos archivos es de 1 TB. Otros como Lolabits ofrecen directamente espacio ilimitado, pero estamos más ante una red social para compartir archivos y no un servicio de almacenamiento propiamente dicho.
Finalmente, podríamos contar BitTorrent Sync, que nos permite sincronizar tantos archivos como queramos creando nuestra propia nube y por lo tanto poniéndonos como límite el espacio que tengamos en nuestros discos duros. Pero ya no estamos hablando de almacenamiento externo, sino de configurar nuestras carpetas para que sean accesibles desde cualquier sitio y valiéndose del protocolo P2P de BitTorrent. Aún así, es una alternativa que va cogiendo forma.
¿Se os ocurre algún otro modo de conseguir espacio en la nube gratuito? No dudéis en compartir vuestras tácticas en los comentarios, para ver si podemos exprimir todavía más ese límite.
Imágenes | saebaryo, Sara Clark
En Genbeta | ¿Tu servicio en la nube te da un Terabyte gratis? Estos dicen que sí
–
La noticia El reto de conseguir 200 GB gratuitos en la nube fue publicada originalmente en Genbeta por Miguel López.
Systems Computers U.S.A. Inc.© 