Bezpečnosť mobilných aplikácií (Martin Zajíček)

846 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
846
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Bezpečnosť mobilných aplikácií (Martin Zajíček)

  1. 1. Bezpečnosť mobilných aplikácií ISACA Slovensko - ABIT 2011Martin Zajíček, CISA, CRISCzajicek@dcit-consulting.skDCIT Consultinghttp://www.dcit-consulting.sk
  2. 2. Prehľad prednášky1. Intro do problematiky2. Základná architektúra/princíp mobilnejaplikácie3. Okruhy slabín4. Potenciálne problémové oblasti5. Stručné resumé bezpečnej aplikácie2 http://www.dcit-consulting.sk
  3. 3. 1. Intro do problematikyČo považujeme za mobilnú aplikáciu? • samostatná aplikácia bežiaca na mobilnom (SMART) telefóneHistória mobilných aplikácií.. • v minulosti sa vyskytovali a vyvíjali aplikácie takmer výhradne v JAVA-e – spravidla išlo o primitívne aplikácie s nie veľmi „cool“ vzhľadom • rozkvet mobilných aplikácii nastal až po štarte iPhone platformy spoločne s App Store • iPhone spoločne s Androidom najpoužívanejšia platforma3 http://www.dcit-consulting.sk
  4. 4. 1. Intro do problematiky (2) • mimo iPhone a Androidu sú používané Symbian, Windows Mobile a ďalšie ako napr. BADU, atď. • aj naďalej existencia JAVA aplikácií • z pohľadu bezpečnosti a testovania je potrebné venovať sa samostatne každej platforme – spravidla sú vyvíjané inými spoločnosťami alebo skupinami programátorov!4 http://www.dcit-consulting.sk
  5. 5. 2. Základná architektúra/princíp • sú používané rôzne prístupy • spravidla sieťová aplikácia komunikujúca so serverom (protokol HTTPS + JSON) – výmena dát • pri zabezpečení sa treba orientovať na bezpečnosť, ktorá je podobná viac bezpečnosti web služieb (web services - napr. SOAP) ako web aplikácií5 http://www.dcit-consulting.sk
  6. 6. 3. Okruhy slabín • podobnosť so štandardnými aplikáciami – klient/server, vstupy/výstupy • na strane servera − verejne prístupná služba HTTPS – prístup nielen pre mobilné aplikácie − nefunkčný update manažment, chybná implementácia SSL, chybná konfigurácia − špecifický middleware napr. pre podporu JSON a pod. – väčší potenciálny priestor existenciu slabín • na strane aplikácie − ošetrenie vstupov (SQL Injection!) − session manažment6 http://www.dcit-consulting.sk
  7. 7. 3. Okruhy slabín (2) • špecifické slabiny − oblasti, ktoré pri štandardných web aplikáciách sú podporované natívne internetovým prehliadačom a službami • cookies • chybové stavy − ukončenie činnosti aplikácie – je potrebné riešiť na strane servera (time-out + logout) i na strane klienta (odlogovanie + zmazanie informácií z pamäte)7 http://www.dcit-consulting.sk
  8. 8. 4. Potenciálne problémové oblasti • návrat do minulosti • spoliehanie sa na to, že aplikácia je „nedobytná“ a dostatočné chránená samotnou platformou– veľmi častý výskyt jailbreakingu/rootingu − filesystém – spôsob ukladania užívateľských a aplikačných dát (sandboxy) − cachovanie prihlasovacích parametrov a ich zmazanie pri ukončení práce • spoliehanie sa na to, že mobilné platformy nedisponujú hacking nástrojmi • sieťový prístup prostredníctvom nedôveryhodných sietí – možnosť odpočutia komunikácie, útoky MITM8 http://www.dcit-consulting.sk
  9. 9. 4. Potenciálne problémové oblasti (2) • výskyt malwaru (najmä Android) – asistencia užívateľa • častý výskyt mladých vývojárov bez dostatočného bezpečnostného backround-u • spôsob distribúcie a aktualizácie aplikácie • spôsob aktivácie aplikácie (odporúča sa) • výskyt SW, kopírujúceho funkcionalitu pôvodného SW, ktorý býva častokrát viac „cool“9 http://www.dcit-consulting.sk
  10. 10. 5. Stručné resumé bezpečnejaplikácieJe potrebné venovať pozornosť • serverovej časti aplikácie • klientskej časti aplikácie • možnostiam prelomenia ochrany na úrovni OS, odpočúvania, či zmeny komunikácie • distribúcii SW • každej platforme samostatne Nezabúdať na možnosť a schopnosť zabezpečenia infraštruktúry po posledný firewall – za ním je prostredie mimo kontroly...10 http://www.dcit-consulting.sk
  11. 11. Diskusia11 http://www.dcit-consulting.sk

×