1. Tras las Líneas Enemigas:
BYOD
alex.hernandez [at] asimx [dot] org
aka alt3kx
2. About
• Currently bug researcher contributor Spain , Germany, USA
and Mexico.
• He has also coded some exploits, mainly for the pent testing
task
• The last public exploits published on security’s page like
packetstorm, securityfocus , packet storm, exploit-db.com
• Contributor / Staff ASIMX (Linkedin) Mexico, DF.
• blah blah blah…
3. BYOD (Bring Your Own Device)
La nueva tendencia TI
“Trae tu propio Dispositivo…”
Una realidad que indica que los usuarios penetrarán las fronteras de la
organización con su smartphone o tableta... quiera o no la organizacion.
4. BYOD: Hace cuanto tiempo?
•80’s Restaurante/Antro: Permitir a los clientes traer su
propia botella de vino “Corking Fee” al establecimiento ,
México conocido como “descorche”.
•Permitir a los amigos o familiares llevar una botella de vino
etc (una fiesta de “traje”)..etc etc
5. BYOD: Hace cuanto tiempo TI?
•Capricho de los Directores de TI, dispositivos extraños y/o
novedosos en nuestra organización y/o “un simbolo de
status” y un… “por que puedo”.
•Caprichos de los usuarios conocidos de nuestra
organización (los rebeldes), dispositivos móviles, gadgets,
tablets, Ipads & Iphones.
•Cosumerizacion TI: “intrusión” de la tecnología doméstica
en la Oficina.
6. BYOD: Hace algunos años…
•La lógica de hace algunos años era que los entornos de la
organización estaban claramente por delante de los
entornos Personales.
•Lo normal era que una persona tuviese su primer contacto
con su PC/Portatil, teléfono fijo, teléfono móvil, cuando
llegaba a su puesto de trabajo y que fuesen material que le
era sumistrado por la compañía
7. BYOD: Hoy en Día,
Evolución de la Tecnológica
• El fenómeno (BYOD) llega a ser completamente de una
forma “invertida” para el trabajo en la Oficina.
• Cada vez mas personal al querer utilizar nuestro equipo
Corporativo supone evocar el Pasado: por que?
I. Herramientas Desactualizadas
II. Metodologías arcaicas e ineficientes
III.Limitaciones de todo tipo (Seguridad, VPN, navegación,
software, AV, etc, etc)
IV.Pedir a los empleados un downgrade Tecnológico? XD
8. BYOD & Seguridad IT
“Legiones de empleados acuden armados de todo tipo de
dispositivos, dispuestos a asaltar el feudo de lo que una
vez había sido un entorno totalmente controlado”…
11. BYOD & Seguridad IT
• BYOD + Seguridad IT = Una gran y autentica Pesadilla
12. BYOD: La gran pesadilla… y
por que?
• Administrar un parque heterogéneo de dispositivos
supone renunciar a Políticas de gestión comunes.
• Incrementar las necesidades de soporte y mantenimiento
• Elevar los costes del Departamento de TI & Seguridad TI
• Cantidad desconocida de vulnerabilidades de Seguridad
(jailbreak, malware, botnets, Android Market, AppStore…)
13. BYOD: El enemigo ?
• BYOD + Información Corporativa = El Gran Paraíso
Terrenal…para hackers/intruders.
19. BYOD: Amenazas… que nos
espera…?
• Las amenazas móviles están evolucionando
rápidamente, sofisticación que tomo décadas para llegar
a la PC y que ahora esta tomando tan solo unos pocos
años en el móvil.
I. Malware (Controlando Dispositivos a Distancia)
II. Abuso de SMS? (Whatsapp, Line, etc)
III.Fraude Financiero (Aplicaciones de Pago)
IV.Vulnerabilidades: Delay en parches y Fixes (Browser
Exploits, Privileges escalation Exploits, Wifi, DoS, etc)
V.Phishing (Ing. Social, Fake pages, etc)
20. BYOD: Como protegernos?
CISO’s: Tener un punto de vista de uso
I.Que es lo que el usuario necesita de ese dispositivo?
II.Es algo que se puede hacer con herramientas existentes?
III.Es un modelo de uso nuevo y no soportado en la
actualidad?
IV.Se puede hacer lo mismo con lo que ya tenemos?
21. BYOD: Como protegernos?
CISO’s:
I.Llevar a cabo una evaluación de Riesgos: Conocer que
usuarios y que dispositivos se usan.
II.Establecer una Política de Seguridad: Contraseñas,
Accesos, VPN, tipo de dispositivos, apps, etc.
III.Comunicación: Entrenamiento a los usuarios sobre las
nuevas amenazas en dispositivos móviles.
IV.Cumplimiento: Monitoreo del uso de dispositivos y apps
de los usuarios, etc.
22. BYOD: Pero…?
I. Cómo cumplir con la normativa sobre la retención y
destrucción en un entorno BYOD?
II. Cómo debe ser configurado un dispositivo para
recibir y transmitir datos corporativos?
III. Qué sucede con los datos y las pistas de auditoría
cuando un empleado deja la empresa?
IV. Qué tipo de contraseñas se debe usar?
V. Qué tipo de estándar de cifrado se debe exigir?
23. BYOD: Soluciones
VMWare Horizon Mobile 2012: Basically it allows people to have two totally separate profiles on the
same smartphone, one for work and one for personal use
24. BYOD vs CISOs
BYOD = Bring Your Own Disaster
BYOD = Bring Your p0wn3d Device
BYOD = Bring Your Own Data? = (problems)
BYOD = Bring Your Own Disturbance
BYOD = Bring Your Own uncontrolleD