Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Bezpečnosť mobilných aplikácií (Martin Zajíček)

890 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Bezpečnosť mobilných aplikácií (Martin Zajíček)

  1. 1. Bezpečnosť mobilných aplikácií ISACA Slovensko - ABIT 2011Martin Zajíček, CISA, CRISCzajicek@dcit-consulting.skDCIT Consultinghttp://www.dcit-consulting.sk
  2. 2. Prehľad prednášky1. Intro do problematiky2. Základná architektúra/princíp mobilnejaplikácie3. Okruhy slabín4. Potenciálne problémové oblasti5. Stručné resumé bezpečnej aplikácie2 http://www.dcit-consulting.sk
  3. 3. 1. Intro do problematikyČo považujeme za mobilnú aplikáciu? • samostatná aplikácia bežiaca na mobilnom (SMART) telefóneHistória mobilných aplikácií.. • v minulosti sa vyskytovali a vyvíjali aplikácie takmer výhradne v JAVA-e – spravidla išlo o primitívne aplikácie s nie veľmi „cool“ vzhľadom • rozkvet mobilných aplikácii nastal až po štarte iPhone platformy spoločne s App Store • iPhone spoločne s Androidom najpoužívanejšia platforma3 http://www.dcit-consulting.sk
  4. 4. 1. Intro do problematiky (2) • mimo iPhone a Androidu sú používané Symbian, Windows Mobile a ďalšie ako napr. BADU, atď. • aj naďalej existencia JAVA aplikácií • z pohľadu bezpečnosti a testovania je potrebné venovať sa samostatne každej platforme – spravidla sú vyvíjané inými spoločnosťami alebo skupinami programátorov!4 http://www.dcit-consulting.sk
  5. 5. 2. Základná architektúra/princíp • sú používané rôzne prístupy • spravidla sieťová aplikácia komunikujúca so serverom (protokol HTTPS + JSON) – výmena dát • pri zabezpečení sa treba orientovať na bezpečnosť, ktorá je podobná viac bezpečnosti web služieb (web services - napr. SOAP) ako web aplikácií5 http://www.dcit-consulting.sk
  6. 6. 3. Okruhy slabín • podobnosť so štandardnými aplikáciami – klient/server, vstupy/výstupy • na strane servera − verejne prístupná služba HTTPS – prístup nielen pre mobilné aplikácie − nefunkčný update manažment, chybná implementácia SSL, chybná konfigurácia − špecifický middleware napr. pre podporu JSON a pod. – väčší potenciálny priestor existenciu slabín • na strane aplikácie − ošetrenie vstupov (SQL Injection!) − session manažment6 http://www.dcit-consulting.sk
  7. 7. 3. Okruhy slabín (2) • špecifické slabiny − oblasti, ktoré pri štandardných web aplikáciách sú podporované natívne internetovým prehliadačom a službami • cookies • chybové stavy − ukončenie činnosti aplikácie – je potrebné riešiť na strane servera (time-out + logout) i na strane klienta (odlogovanie + zmazanie informácií z pamäte)7 http://www.dcit-consulting.sk
  8. 8. 4. Potenciálne problémové oblasti • návrat do minulosti • spoliehanie sa na to, že aplikácia je „nedobytná“ a dostatočné chránená samotnou platformou– veľmi častý výskyt jailbreakingu/rootingu − filesystém – spôsob ukladania užívateľských a aplikačných dát (sandboxy) − cachovanie prihlasovacích parametrov a ich zmazanie pri ukončení práce • spoliehanie sa na to, že mobilné platformy nedisponujú hacking nástrojmi • sieťový prístup prostredníctvom nedôveryhodných sietí – možnosť odpočutia komunikácie, útoky MITM8 http://www.dcit-consulting.sk
  9. 9. 4. Potenciálne problémové oblasti (2) • výskyt malwaru (najmä Android) – asistencia užívateľa • častý výskyt mladých vývojárov bez dostatočného bezpečnostného backround-u • spôsob distribúcie a aktualizácie aplikácie • spôsob aktivácie aplikácie (odporúča sa) • výskyt SW, kopírujúceho funkcionalitu pôvodného SW, ktorý býva častokrát viac „cool“9 http://www.dcit-consulting.sk
  10. 10. 5. Stručné resumé bezpečnejaplikácieJe potrebné venovať pozornosť • serverovej časti aplikácie • klientskej časti aplikácie • možnostiam prelomenia ochrany na úrovni OS, odpočúvania, či zmeny komunikácie • distribúcii SW • každej platforme samostatne Nezabúdať na možnosť a schopnosť zabezpečenia infraštruktúry po posledný firewall – za ním je prostredie mimo kontroly...10 http://www.dcit-consulting.sk
  11. 11. Diskusia11 http://www.dcit-consulting.sk

×