Puede que te estés preguntando ¿qué es OWASP? Pues ni más ni menos que Open Web Application Security Project o Proyecto Abierto de Seguridad de Aplicaciones Web, una iniciativa de código abierto que ayuda a revisar y auditar la seguridad del software y las aplicaciones móviles y a corregir los diferentes problemas al respecto que puedan surgir.
Como todo en seguridad, este proyecto no es la panacea ya que la seguridad 100% no existe, pero sí es la mejor guía que hay en la actualidad con la que pueden contar diferentes profesionales como desarrolladores o auditores a la hora de comprobar por ejemplo la seguridad de las apps.
Por eso tanto si es la primera vez que te aproximas a este proyecto como si ya lo conoces, resulta muy interesante ver el repaso guiado que hizo Miguel Ángel Arroyo para auditar una app iOS en las I Jornadas de Seguridad Informática PaellaCON que tuve el gusto de co-organizar en mi tierra, en Valencia.
Con él inauguro la serie de charlas que grabé ese día (no todas por razones de confidencialidad) y que iré publicando como viene siendo habitual con todos los contenidos de Palabra de hacker tanto en vídeo en el canal de YouTube como en podcast en el canal de Ivoox e iTunes para que estén accesibles en ambos formatos (accede desde aquí a la lista de reproducción de todos los vídeos disponibles de la jornada). Fue un evento del que estoy muy, muy orgullosa y muy, muy agradecida por la gran calidad humana que se dio cita en él tanto a nivel de ponentes como de asistentes.
Miguel Ángel Arroyo (@Miguel_Arroyo76) es auditor de seguridad, responsable del área de negocio de seguridad en SVT Cloud Security Services. Autor del blog hacking-etico.com donde comparte sus experiencias sobre el mundo del hacking desde hace ya siete años así como Presidente de la asociación ANPhacket, co-organizador del congreso de seguridad Qurtuba así como co-fundador de la comunidad Hack&Beers de la que estuvo hablando en la entrevista que le realicé y que puedes ver en este enlace.
Auditar una app iOS desde la perspectiva OWASP
Miguel Ángel subió al escenario de PaellaCON cargado de energía e inspirado por una charla de Pat Kelly que le hizo presentarse enfatizando y pausando sus palabras con su característico acento cordobés y ataviado con americana, gafas, portátil más una serie de gráficos importantes a los que sin duda no hay que perderles de vista.
Sí, lo reconozco, al darle al play al inicio no aparecerá esa parodia de Miguel de Pat Kelly que se sí se cierra con un test al final del vídeo, dejémoslo en ‘cuestiones del directo’ pero lo que sí vais a ver en el vídeo o escuchar en el podcast, es la encarecida recomendación de Miguel Ángel por introducir el proyecto OWASP* en la dinámica de trabajo de desarrolladores y auditores. ¿Por qué? Pues por el bien de todos ya que la revisión, el chequeo continuado y las auditorías siempre serán más completas si se siguen los diferentes puntos o listas de chequeo que recoge esta iniciativa en materia de seguridad.
Aunque la introducción es válida para las aplicaciones tanto de iOS como de Android o Windows Phone, Miguel Ángel le hace ojitos a Apple y se centra en cómo debería ser una auditoría de aplicaciones iOS con listado incluido de herramientas a la hora de auditar para cubrir todos los aspectos: herramientas de análisis dinámico, forense, reversing y ensamblador.
iOS Security Testing Cheat Sheet
Además del vídeo y el podcast, os adjunto la chuleta o cheat sheet para realizar el test de seguridad de iOS que de una manera muy gráfica muestra todos los aspectos imprescindibles a tener en cuenta. Así que si la iniciativa OWASP era una desconocida o por el contrario, sus indicaciones ya están incorporadas en vuestras rutinas de trabajo, en esta charla encontraréis el por qué debería extenderse su uso mucho más.
*Toda la información sobre OWASP disponible en la web oficial www.owasp.org además como curiosidad en Palabra de hacker tuvimos la visita del fundador de OWASP España, Vicente Aguilera, que estuvo en el ciberdebate dedicado a OSINT y hacking con buscadores al cual os recomiendo echar un vistazo por la interesante información y lista de herramientas que compartieron los invitados.
* Si te interesa descubrir tres guías de seguridad publicadas en OWASP y algún que otro proyecto interesante para romper mano, no dejes de revisar estas recomendaciones hechas por Rafael Sánchez a su paso por Palabra de hacker.
*Hay disponible en el canal otra charla de Miguel relativa a OWASP que ofreció en las Jornadas de Seguridad Informática Honey Sec con el título ‘Method Swizzling en una aplicación iOS‘.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!