Академический Документы
Профессиональный Документы
Культура Документы
de pruebas
Introduccin
Unidad 0
Contenidos
2
3
4
Requisitos de seguridad.
Polticas.
Plataformas y definicin de test.
Mtricas de seguridad.
Herramientas de simulacin.
Guas y procesos de programacin segura.
El laboratorio de seguridad no es un
sistema esttico y universal.
Dependen de:
Tipo de producto.
Clientes.
Legislacin.
Interfaces inalmbricos.
Almacenamiento externo.
Conexiones por cable.
Su configuracin.
Anlisis de seguridad
Anlisis de seguridad
Tipos
Anlisis de seguridad
Anlisis esttico I
Elementos analizables:
Cdigo:
Tcnicas utilizadas:
10
Anlisis de seguridad
Anlisis esttico II
Ventajas:
Es automatizable muy fcilmente.
Es muy eficaz en la deteccin de ciertos tipos de vulnerabilidades.
Buffer overflows.
Inyeccin de cdigo.
Desventajas:
Posibilidad de un alto nmero de falsos positivos.
Resultados tienen que ser revisados manualmente.
11
Anlisis de seguridad
Anlisis dinmico I
Elementos analizables:
Memoria de los procesos.
Tcnicas utilizadas
Ejecucin en sandbox monitorizada.
Fuzzing (generacin de entradas
aleatorias).
Inyeccin de cdigo de
monitorizacin.
Escaneo de vulnerabilidades.
12
Anlisis de seguridad
Anlisis dinmico II
Ventajas
Permite comprobar el comportamiento real de una aplicacin.
Acceso a informacin no accesible con otras tcnicas.
Entorno controlado.
Desventajas
Es, generalmente, ms lento que el anlisis esttico.
Requiere ejecutar el programa durante un tiempo determinado.
Es ms difcil de automatizar.
13
Anlisis de seguridad
Sistemas que participan
a
Dispositivo:
Nube:
Outsourcing de muchas
tareas de anlisis.
En ocasiones la nica
opcin posible.
Ms costoso.
Mquina virtual:
14
Anlisis de seguridad
Anlisis automtico vs analista
s
Automtico
Analista
15
Servidores
Estaciones
de trabajo
17
19
Solucin:
20
21
Simulacin de Android
Simulacin de Android
Introduccin
Originalmente desarrollado por
Android Inc. (comprada por Google en
2005).
Distribucin de versiones
29,5
0,2
0,5
3,4
2,9
26,9
36,6
Froyo (2.2)
GingerBread(2.3.3-7)
Ice Cream Sandwich (4.0.3-4)
Jelly Bean (4.1-3)
KitKat (4.4)
Lollipop (5.0-1)
Marshmallow (6.0)
Diciembre 2015
23
Simulacin de Android
Laboratorio de pruebas I
Entorno de pruebas
El entorno de pruebas para el sistema operativo Android de este curso permite:
Desarrollar aplicaciones.
Instalar y ejecutar aplicaciones en dispositivos.
Instrumentalizar diferentes caractersticas de una aplicacin durante su ejecucin.
Anlisis esttico.
Anlisis dinmico.
Anlisis forense.
24
Simulacin de Android
Laboratorio de pruebas II
Entorno de pruebas
El entorno de pruebas para el sistema operativo Android est compuesto:
Kit de desarrollo oficial de Google.
Herramientas de terceros para el anlisis esttico.
Herramientas de terceros para el anlisis dinmico.
Aplicaciones Android para el aprendizaje sobre vulnerabilidades, programacin
segura y servicios de seguridad de Android.
Herramientas para la extraccin de informacin.
25
Simulacin de Android
Kit de desarrollo oficial de Google
26
Simulacin de Android
Componentes del kit de desarrollo oficial de Google
27
Simulacin de Android
Herramientas Android SDK
Debugging tools.
Building tools.
Platform tools:
Son especficas para la versin de Android para la que se estn desarrollando aplicaciones.
28
Simulacin de Android
Android SDK Virtual Device Manager (AVD)
Herramienta grfica para la creacin de dispositivos virtuales.
Permite crear mltiples dispositivos con diferentes caractersticas:
Sistema operativo.
Hardware.
29
Simulacin de Android
Android SDK Emulator
Permite ejecutar los dispositivos
creados en el AVD Manager.
Se puede ejecutar por consola (la
utilidad emulator) o a travs de
Android Studio.
Puede configurarse mediante
parmetros al ejecutarse.
No puede realizar llamadas.
Puede simular la recepcin de
llamadas y mensajes de texto.
Emulador de Android
30
Simulacin de Android
Android SDK Development Tools
Herramientas grficas:
SDK Manager: interfaz grfico para
31
Simulacin de Android
Android SDK Debugging Tools
32
Simulacin de Android
Android SDK Building Tools
33
Simulacin de Android
Android SDK Platform Tools
34
Simulacin de Android
Android SDK Android Studio
http://developer.android.com/tools/studio/index.html
35
Simulacin de Android
Android Studio Instalacin
1. Instala el JDK 7 de Java.
http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads1880260.html
36
Vdeo
Descarga de Android Studio
37
Simulacin de Android
Android Studio Instalacin
4. Acepta las condiciones de la licencia de software.
5. Ejecuta Android Studio.
6. Sigue las instrucciones para la instalacin del SDK para la ltima versin.
38
Simulacin de Android
Herramientas Android Studio
Estructura de
la aplicacin
Editor
Android Monitor
39
Simulacin de Android
Herramientas Android Studio
Estructura de
la aplicacin
Editor
Android Monitor
4040
Simulacin de Android
Santoku Linux Instalacin
41
Simulacin de Android
Santoku Linux Instalacin
4. Crear una nueva mquina virtual.
42
Simulacin de Android
Santoku Linux Instalacin
5. Crear una nueva mquina.
Tipo: Linux.
43
Simulacin de Android
Santoku Linux Instalacin
6. Crear un disco duro virtual.
44
Simulacin de Android
Santoku Linux Instalacin
Settings -> Storage -> Optical Drive -> Choose Virtual Optical Disk File.
45
Vdeo
Creacin VM
46
Simulacin de Android
Santoku Linux Instalacin
8. Iniciar la mquina virtual e instalar el sistema operativo.
9. Durante el inicio de la mquina, seleccionar la opcin Install.
10. Seleccionar Erase disk and install Santoku.
11. Reiniciar una vez finalizada la instalacin.
12. Una vez reiniciada la instalacin, en la barra superior de la aplicacin
seleccionar:
sudo sh VBoxLinuxAdditions.run
47
Vdeo
Instalacin Guest Additions
48
Vdeo
Puesta en marcha
49
Simulacin de Android
Santoku Linux Instalacin
Para algunas de las tareas ser necesario que Santoku Linux tenga acceso
directo a la red fsica.
Para ello, debemos configurar Virtualbox con una interfaz del tipo brigded.
50
Vdeo
Cambio de configuracin de red
51
Simulacin de Android
Herramientas Santoku Linux
Santoku incluye multitud de
herramientas que sern de utilidad
para la realizacin de anlisis
dinmico y esttico.
En nuestro caso, utilizaremos las
siguientes
Apktool.
Androguard.
Wireshark.
Burp Proxy.
52
Simulacin de Android
Herramientas Apktool
53
Simulacin de Android
Herramientas Apktool Actualizacin
54
Simulacin de Android
Herramientas Androguard
Es fcilmente extendible.
55
Simulacin de Android
Herramientas Wireshark
Es un programa para la captura e inspeccin de trfico de red.
En Santoku est instalado por defecto.
> wireshark
56
Simulacin de Android
Herramientas Burp Suite Free Proxy
Permite capturar y modificar trfico sin cifrar pero tambin cifrado con SSL.
Mediante la generacin de un certificado SSL.
57
Simulacin de Android
Herramientas Sqliteman
58
Simulacin de Android
Herramientas Qark
59
Simulacin de Android
Herramientas Qark Instalacin
60
Vdeo
Instalacin Qark
61
Simulacin de iOS
Simulacin de iOS
Introduccin
Distribucin de versiones
21
8
71
iOS 9
iOS 8
Diciembre 2015
Ms antiguos
63
Simulacin de iOS
Laboratorio de pruebas I
64
Simulacin de iOS
Laboratorio de pruebas II
65
Simulacin de iOS
Kit de desarrollo oficial de Apple
Las aplicaciones subidas a la App Store deben ser aprobadas por Apple.
Dos excepciones:
Instalacin a travs de un programa de empresa.
Instalacin a travs del IDE oficial sin cuenta de desarrollador.
66
Simulacin de iOS
Componentes del kit de desarrollo oficial de Apple
Incluye:
Herramientas de compilacin, depuracin y comunicacin con dispositivos.
Libreras del sistema para su uso por parte de aplicaciones de terceros.
Simulador para ejecutar y depurar aplicaciones.
Herramientas de gestin del propio SDK.
67
Simulacin de iOS
Herramientas XCode
Apple Watch.
OSX.
68
Simulacin de iOS
Herramientas XCode
a
Estructura
de la
aplicacin
Caractersticas
del proyecto
Barra de
ayuda
69
Simulacin de iOS
Herramientas Xcode Editor
a
Estructur
a de la
aplicacin
Barra de
ayuda
70
Simulacin de iOS
Herramientas Xcode Interface Builder
a
71
Simulacin de iOS
Herramientas Simulador
No es un emulador completo.
72
Simulacin de iOS
Herramientas Instruments
73
Simulacin de iOS
Herramientas Hopper
74
Simulacin de iOS
Herramientas Hopper
a
75
Simulacin de iOS
Herramientas jailbreak
76
Simulacin de iOS
Herramientas jailbreak SSH
Simulacin de iOS
Herramientas jailbreak SSH Configuracin
Para ello, en primer lugar debemos averiguar la IP del mismo. Para ello puedes
ir a Ajustes.
78
Simulacin de iOS
Herramientas jailbreak SSH Configuracin
79
Simulacin de iOS
Herramientas jailbreak BigBooss tools
Simulacin de iOS
Herramientas jailbreak Clutch
81
Simulacin de iOS
Herramientas jailbreak iNalyzer
Para instalar iNalyzer basta con aadir el repositorio http://appseclabs.com/cydia a los repositorios de Cydia, siguiendo las mismas instrucciones
que se han seguido para instalar repositorios anteriores.
Una vez cargado el repositorio, se accede a la consola del sistema por SSH.
> cd /Applications/iNalyzer5.app
> ./iNalyzer
Para ver los resultados de la ejecucin debemos acceder a travs del navegador
a: http://ip_iphone:5544
82
Simulacin de iOS
Herramientas jailbreak Snoop-it
83
Simulacin de iOS
Otras herramientas iFunBox
No requiere jailbreak.
Disponible en:
http://www.i-funbox.com
84
Simulacin de iOS
Otras herramientas iFunBox
a
85
Otros entornos
Introduccin
BlackBerry
Primera compaa en desarrollar
87
Windows Phone
Windows Phone
Introduccin
89
Windows Phone
SDK
Smartphone.
Xbox.
90
Windows Phone
Visual Studio Community
Descargable desde:
https://www.visualstudio.com/post-download-vs?sku=community&clcid=0x409
Incluye:
El simulador de Windows Phone.
Debugger.
Herramientas de anlisis esttico.
Disponible en versiones Professional y Enterprise
91
Windows Phone
Visual Studio Community Instalacin
92
Windows Phone
Emulador para Windows 10 Mobile
Permite simular:
Datos del acelermetro.
Tarjetas SD.
Localizaciones.
Redes inalmbricas.
Comunicaciones mediante NFC.
93
BlackBerry
BlackBerry
Introduccin
BlackBerry Playbook.
BlackBerry 10.
95
BlackBerry
BlackBerry OS
La primera versin,1.0, fue lanzada en 1997 para la BlackBerry 850 (un busca).
Android e iOS.
Java:
Utiliza un SDK especfico, el BlackBerry Java SDK.
Desarrollo a travs de Eclipse mediante un plugin:
Incluye un simulador.
Incluye una API criptogrfica especialmente desarrollada por RIM:
Cifrado de ficheros.
96
BlackBerry
BlackBerry Playbook
Javascript/CSS/HTML5.
Adobe Air:
Permite portar aplicaciones creadas con herramientas de Adobe.
http://developer.BlackBerry.com/air/download/#playbook
Android:
Playbook OS puede ejecutar aplicaciones de Android 2.3.3 con limitaciones.
97
BlackBerry
BlackBerry 10
Javascript/CSS/HTML5.
SDK WebWorks para BlackBerry 10, basado en Cordova (descarga).
98
BlackBerry
SDK Instalacin
1. Navega a la siguiente pgina y descarga la versin de Momentics para tu
sistema operativo: http://developer.BlackBerry.com/native/downloads/
2. Instala Momentics siguiendo las instrucciones en pantalla.
3. Ejecuta Momentics y selecciona un espacio de trabajo.
99
BlackBerry
SDK Instalacin
5. Selecciona el nivel de API recomendado:
100
Test de evaluacin
102