http://groups.google.com/group/gut-amKleitor Franklint
Testes de
segurança
em APP Mobile
Para fazer parte do grupo de teste:
KLEITOR
Entusiasta da Vida, Qualidade,
Colaborativos,Ágil,
Teste e Testes Ágeis. [email protected]
ombr.linkedin.com/in/kfranklint
92-99416-0873
3
Pra quem é
esta
apresentação?
Desenvolvedores,
testadores,
curiosos e outros
envolvidos
4
AGENDA
Um overview...
sobre Riscos e
estratégia de teste de
segurança mobile
...sobre ferramentas
pro time
...e se sobrar tempo...
Vídeo de pentest
5
Notas iniciais
Esta apresentação é utilizada
como material de apoio de um
treinamento meu, sem o qual
ela pode parecer redundante e
pouco esclarecedora.
Tempo usado no celular
6
Por que precisamos de aplicações seguras?
7
HP Research testou mais de 2,000 mobile app em mais de 600 companhias.
97% das apps deram acesso a pelo menos uma fonte de informação privada.
86% das apps falharam no uso de simples proteções contra ataques modernos.
75% das apps não usa técnicas de encriptação adequada ao armazenar dados no dispositivo.
Mobile Application Security Study, 2013 reporthttp://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-1057ENW.pdf
Por que precisamos de aplicações seguras?
8
HP Research testou mais de 2,000 mobile app em mais de 600 companhias.
18% das apps envia usernames e senhas por HTTP, enquanto outros 18% implementa SSL/HTTPS incorretamente
71% das vulnerabilidades residem no Web server
Mobile Application Security Study, 2013 reporthttp://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-1057ENW.pdf
Por que precisamos de aplicações seguras?
Aplicações têm se tornado o alvo primário dos ataques
Applications
Platforms
OS
HW
Volátil
Estável
Muitos
Poucos
Fonte: Information Assurance Directorate, National Security Agency
Por que precisamos de aplicações seguras?
sim, Android Malware’s.sim, Android Malware’s.Por que precisamos de aplicações seguras?
BluetoothNFC/RFIDBackup
Elementos Mobile – Muito Plural!!!Elementos Mobile – Muito Plural!!!
ClientPlatformHardwareNetworkServer
AppApp
Outras considerações
OWASP Mobile Top 10, Beau Woods, http://beauwoods.com
Percepção das AmeaçasE sim, precisamos testá-las
E como andam as iniciativas de segurança mobile?
https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
Como provar que a aplicação está segura?Como provar que a aplicação está segura?
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
Teste de segurança em app mobileTeste de segurança em app mobile
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
O QUE É?O QUE É?
É teste de invasão ( pen test )?É teste de invasão ( pen test )?
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
O QUE É?O QUE É?
É auditoria de apps mobile?
Quem é que realiza?É varredura de vulnerabilidades?É varredura de vulnerabilidades?
Quando realiza?Quando realiza?
É Hacking?É Hacking?
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
Teste de segurança é Tudo isso:
HACKING PENTEST AUDITORIA
Agregar valor ao produto sob a dimensão da...
E o objetivo é...?
segurança orientada a valor
Discagem, SMS,PagamentosNão autorizado Conectividade
não
autorizada
Impersoni-ficação
Recuperar
dados
ModificaçãoDo
SistemaBombasLógicas
Vazamento de dados
Teste de segurançaTestar, o que?
M4- Vazamento de dados não
intencional
M3- Proteção insuficiente na
camada de transportes
M2- Armazenamento
inseguro de dados
19
Owasp -Mobile top ten risks
M1- Controle Fraco do
lado servidor
M5- Autenticação e
autorização fracas
Testar, o que?
M6- Quebra deCriptografia
20
M7- Injeção
Client-Side
M8- Decisão de
Segurança por entradas não
confiáveis
M9- ManipulaçãoIndevida de
sessão
M10- Falta de Proteção
binária
Owasp -Mobile top ten risksTestar, o que?
Como o Tester participa?
Scanner automatizado de vulnerabilidades
Análise automatizada
de código
Teste Manual de invasão ( Pen Test )
Revisão manual de código
Falsos Positivos, Falsos Negativos, Camadas indetectáveis.
RISCOS
Teste de segurança em app mobileScanner: A solução de tudo?
Teste de segurança em app mobilePentest: Pra quê?
Como encontrar equilíbrio?Valor x Produtividade
E a eficácia para o
cliente e time?
25
VarreduraQuão rápido e
amplamente posso analisar a superfície?
Exploratório ( Pentest )Que tipos de ataques são relevantes? Qual a parte mais importante a ser protegida: mais impacto, maior risco ao negócio?
Teste continuo+Sprint pequeno + muito feedback
26
Explorar pentest + varredura = done
Como encontra equilíbrio?Valor x Produtividade
Report: Análise de resultado, prazo, valor
Time to marketUsabilidade,
Disponibilidadee Desempenho
Resultados dos Testes
Implicações de Regras de Negócio, outros
APP MOBILERISCOS
CRITICIDADE, IMPACTO, PROBABILIDADE IMPLICAÇÕES
RECOMENDAÇÕES
Ferramentas Ferramentas para o timepara o time
Desenvolvedorese testers
Visões complementares
29
Ferramentas Eng. Ferramentas Eng. ReversaReversa
Manifest Explorer Intent Sniffer
Busybox
ADB
StraceProcrank
Androick
Ferramentas: Análise dinâmica
GoatDroidLab Vuln NowSecure Lab
SeraphimDroid(Security)
MOBISEC
(lab, ambiente)
DroidWall Um monte de outras
DSDroid( Mapear)
Labs, scan e outros
32
No google playNo google play
Como ser um bom pen tester?
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
Estudar Teste de Software, SOs, Hardware e interface, redes, db, eng. Software, etc
Estudar humanos: comportamentos sociais e emocionais, tendências...
E se vc gostou ou interessou...
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
Treinamento Android Hacking e Pentest
br.linkedin.com/in/kfranklint
99416-0873
Essencial, divertido, desafiador
Quer participar?
Entra em contato.
36
POSSO COLABORAR COM MAIS RESPOSTAS?
br.linkedin.com/in/kfranklint
92-99416-0873