Auditar una app iOS desde la perspectiva OWASP, charla Miguel Arroyo.

Auditar aplicación iOS desde la perspectiva de OWASP

Puede que te estés preguntando ¿qué es OWASP? Pues ni más ni menos que Open Web Application Security Project o Proyecto Abierto de Seguridad de Aplicaciones Web, una iniciativa de código abierto que ayuda a revisar y auditar la seguridad del software y las aplicaciones móviles y a corregir los diferentes problemas al respecto que puedan surgir.

Como todo en seguridad, este proyecto no es la panacea ya que la seguridad 100% no existe, pero sí es la mejor guía que hay en la actualidad con la que pueden contar diferentes profesionales como desarrolladores o auditores a la hora de comprobar por ejemplo la seguridad de las apps.

Por eso tanto si es la primera vez que te aproximas a este proyecto como si ya lo conoces, resulta muy interesante ver el repaso guiado que hizo Miguel Ángel Arroyo para auditar una app iOS en las I Jornadas de Seguridad Informática PaellaCON que tuve el gusto de co-organizar en mi tierra, en Valencia.

Con él inauguro la serie de charlas que grabé ese día (no todas por razones de confidencialidad) y que iré publicando como viene siendo habitual con todos los contenidos de Palabra de hacker tanto en vídeo en el canal de YouTube como en podcast en el canal de Ivoox e iTunes para que estén accesibles en ambos formatos (accede desde aquí a la lista de reproducción de todos los vídeos disponibles de la jornada). Fue un evento del que estoy muy, muy orgullosa y muy, muy agradecida por la gran calidad humana que se dio cita en él tanto a nivel de ponentes como de asistentes.

Miguel Ángel Arroyo (@Miguel_Arroyo76) es auditor de seguridad, responsable del área de negocio de seguridad en SVT Cloud Security Services. Autor del blog hacking-etico.com donde comparte  sus experiencias sobre el mundo del hacking desde hace ya siete años así como Presidente de la asociación ANPhacket, co-organizador del congreso de seguridad Qurtuba así como co-fundador de la comunidad Hack&Beers de la que estuvo hablando en la entrevista que le realicé y que puedes ver en este enlace.

Auditar una app iOS desde la perspectiva OWASP

Miguel Ángel subió al escenario de PaellaCON cargado de energía e inspirado por una charla de Pat Kelly que le hizo presentarse enfatizando y pausando sus palabras con su característico acento cordobés y ataviado con americana, gafas, portátil más una serie de gráficos importantes a los que sin duda no hay que perderles de vista.

Sí, lo reconozco, al darle al play al inicio no aparecerá esa parodia de Miguel de Pat Kelly que se sí se cierra con un test al final del vídeo, dejémoslo en ‘cuestiones del directo’ pero lo que sí vais a ver en el vídeo o escuchar en el podcast, es la encarecida recomendación de Miguel Ángel por introducir el proyecto OWASP* en la dinámica de trabajo de desarrolladores y auditores. ¿Por qué? Pues por el bien de todos ya que la revisión, el chequeo continuado y las auditorías siempre serán más completas si se siguen los diferentes puntos o listas de chequeo que recoge esta iniciativa en materia de seguridad.

Aunque la introducción es válida para las aplicaciones tanto de iOS como de Android o Windows Phone, Miguel Ángel le hace ojitos a Apple y se centra en cómo debería ser una auditoría de aplicaciones iOS con listado incluido de herramientas a la hora de auditar para cubrir todos los aspectos: herramientas de análisis dinámico, forense, reversing y ensamblador.

iOS Security Testing Cheat Sheet

Además del vídeo y el podcast, os adjunto la chuleta o cheat sheet para realizar el test de seguridad de iOS que de una manera muy gráfica muestra todos los aspectos imprescindibles a tener en cuenta. Así que si la iniciativa OWASP era una desconocida o por el contrario, sus indicaciones ya están incorporadas en vuestras rutinas de trabajo, en esta charla encontraréis el por qué debería extenderse su uso mucho más.

Sheet OWASP iOS security testing cheat sheet

*Toda la información sobre OWASP disponible en la web oficial www.owasp.org además como curiosidad en Palabra de hacker tuvimos la visita del fundador de OWASP España, Vicente Aguilera, que estuvo en el ciberdebate dedicado a OSINT y hacking con buscadores al cual os recomiendo echar un vistazo por la interesante información y lista de herramientas que compartieron los invitados.

* Si te interesa descubrir tres guías de seguridad publicadas en OWASP y algún que otro proyecto interesante para romper mano, no dejes de revisar estas recomendaciones hechas por Rafael Sánchez a su paso por Palabra de hacker.

*Hay disponible en el canal otra charla de Miguel relativa a OWASP que ofreció en las Jornadas de Seguridad Informática Honey Sec con el título ‘Method Swizzling en una aplicación iOS‘.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    { «@context»: «https://schema.org», «@type»: «VideoObject», «name»: «Cómo auditar una aplicación iOS desde la perspectiva OWASP», «@id»: «https://www.yolandacorral.com/auditar-app-ios-owasp/#videoobject», «datePublished»: «2016-07-12», «description»: «Conoce las ventajas de auditar una aplicación iOS siguiendo los protocolos y recomendaciones que ofrece OWASP. Una charla ofrecida por Miguel Ángel Arroyo en las Jornadas PaellaCON.», «thumbnailUrl»: «https://www.yolandacorral.com/wp-content/uploads/Auditar-app-OWASP-Palabra-de-hacker.jpg», «uploadDate»: «2016-07-12», «duration»: «PT30M49S», «publisher»: { «@type»: «Organization», «name»: «Palabra de hacker by Yolanda Corral», «logo»: { «@type»: «ImageObject», «url»: «https://www.yolandacorral.com/wp-content/uploads/Logo-Palabra-de-hacker-ciberseguridad-de-tu-a-tu.png», «width»: 60, «height»: 60 } }, «embedUrl»: «https://youtu.be/JO8daeYsPtI» }

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.