Auditar aplicación iOS desde la perspectiva de OWASP
Julio 12, 2016
0

Puede que te estés preguntando ¿qué es OWASP? Pues ni más ni menos que Open Web Application Security Project o Proyecto Abierto de Seguridad de Aplicaciones Web, una iniciativa de código abierto que ayuda a revisar la seguridad del software y las aplicaciones móviles y a corregir los diferentes problemas al respecto que puedan surgir. Como todo en seguridad, este proyecto no es la panacea ya que la seguridad 100% no existe, pero sí es la mejor guía que hay en la actualidad con la que pueden contar diferentes profesionales como desarrolladores o auditores a la hora de comprobar por ejemplo la seguridad de las apps.

Por eso tanto si es la primera vez que te aproximas a este proyecto como si ya lo conoces, resulta muy interesante ver el repaso guiado que hizo Miguel Ángel Arroyo en las I Jornadas de Seguridad Informática PaellaCON que tuve el gusto de co-organizar en mi tierra, en Valencia. Con él inauguro la serie de charlas que grabé ese día (no todas por razones de confidencialidad) y que iré publicando como viene siendo habitual con todos los contenidos de Palabra de hacker tanto en vídeo en el canal de YouTube como en podcast en el canal de Ivoox e iTunes para que estén accesibles en ambos formatos (accede desde aquí a la lista de reproducción de todos los vídeos disponibles de la jornada). Cuando estén todos los vídeos publicados, haré un post recopilatorio y resumen en primera persona de lo que dio de sí PaellaCON pero ya lo avanzo: fue un evento del que estoy muy, muy orgullosa y muy, muy agradecida por la gran calidad humana que se dio cita en él tanto a nivel de ponentes como de asistentes.

Miguel Ángel Arroyo (@Miguel_Arroyo76) es auditor de seguridad, responsable del área de negocio de seguridad en SVT Cloud Security Services. Autor del blog hacking-etico.com donde comparte  sus experiencias sobre el mundo del hacking desde hace ya siete años así como Presidente de la asociación ANPhacket, co-organizador del congreso de seguridad Qurtuba así como co-fundador de la comunidad Hack&Beers de la que estuvo hablando en la entrevista que le realicé hace ya unos meses y que puedes ver en este enlace.

 

Auditar una app iOS desde la perspectiva OWASP

Miguel Ángel subió al escenario de PaellaCON cargado de energía e inspirado por una charla de Pat Kelly que le hizo presentarse enfatizando y pausando sus palabras con su característico acento cordobés y ataviado con americana, gafas, portátil más una serie de gráficos importantes a los que sin duda no hay que perderles de vista. Sí, lo reconozco, al darle al play al inicio no aparecerá esa parodia de Miguel de Pat Kelly que se sí se cierra con un test al final del vídeo, dejémoslo en 'cuestiones del directo' pero lo que sí vais a ver en el vídeo o escuchar en el podcast, es la encarecida recomendación de Miguel Ángel por introducir el proyecto OWASP* en la dinámica de trabajo de desarrolladores y auditores. ¿Por qué? Pues por el bien de todos ya que la revisión, el chequeo continuado y las auditorías siempre serán más completas si se siguen los diferentes puntos o listas de chequeo que recoge esta iniciativa en materia de seguridad.

Aunque la introducción es válida para las aplicaciones tanto de iOS como de Android o Windows Phone, Miguel Ángel le hace ojitos a Apple y se centra en cómo debería ser una auditoría de aplicaciones iOS con listado incluido de herramientas para cubrir todos los aspectos: herramientas de análisis dinámico, forense, reversing y ensamblador. Además del vídeo y el podcast, os adjunto la chuleta o cheat sheet para realizar el test de seguridad de iOS que de una manera muy gráfica muestra todos los aspectos imprescindibles a tener en cuenta. Así que si la iniciativa OWASP era una desconocida o por el contrario, sus indicaciones ya están incorporadas en vuestras rutinas de trabajo, en esta charla encontraréis el por qué debería extenderse su uso mucho más.

 

Sheet OWASP iOS security testing cheat sheet

*Toda la información sobre OWASP disponible en la web oficial www.owasp.org además como curiosidad en Palabra de hacker tuvimos la visita del fundador de OWASP España, Vicente Aguilera, que estuvo en el ciberdebate dedicado a OSINT y hacking con buscadores al cual os recomiendo echar un vistazo por la interesante información y lista de herramientas que compartieron los invitados.

* Si te interesa descubrir tres guías de seguridad publicadas en OWASP y algún que otro proyecto interesante para romper mano, no dejes de revisar estas recomendaciones hechas por Rafael Sánchez a su paso por Palabra de hacker.

*Hay disponible en el canal otra charla de Miguel relativa a OWASP que ofreció en las Jornadas de Seguridad Informática Honey Sec con el título "Method Swizzling en una aplicación iOS".

 

¿Te ha gustado? Déjame abajo un comentario y comparte la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Te unes al conocimiento innovador para recibir mis novedades por newsletter?

Nombre

Correo electrónico

He leído la Política de Privacidad y acepto expresamente los términos y condiciones.

AVISO LEGAL - PRIVACIDAD - COOKIES

¿Te gustaría seguir el blog por correo electrónico?

Si deseas recibir notificaciones al instante de las nuevas entradas en tu correo, aquí puedes hacerlo. Al hacer clic en el botón "Seguir" declaras expresamente que has leído y aceptas la Política de Privacidad y el Aviso legal de mi web.

Yolanda Corral
Licenciada en Periodismo, especializada en televisión, YouTube, redes sociales y contenidos online con un ojo puesto en la seguridad digital. Máster en Community Management y redes sociales en la empresa. Fundadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.

Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación, la transformación digital y la seguridad digital, amante del social media y coleccionista de momentos. Puedo ayudarte a conectarte a ti o a tu negocio con el mundo a través de la combinación YouTube y los medios sociales = YoComunico/Comunicamos y trabajar contigo como formadora y presentadora de eventos presenciales y online. Mi nick digital es yocomu. ¡Búscame en las redes!
Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Déjame un comentario. ¡Gracias!