Auditarea Aplicațiilor Mobile
Florin Iliescu, CISA, CISSP – Infologica
IT & Infrastructure Security, Hotel Marshal
Garden
...
despre



Înfiinţată în 2004
Servicii







Audit: MF, MCSI, ASF (CNVM/CSA), TRANSFOND
Consultanţă: BCP, SMSI, St...
audit



Analiza de risc.
Securitatea aplicațiilor mobile.








Tehnologii noi;
Termene de livrare;
Rețele nese...
controale organizatorice
Plan de proiect, grad de încărcare
personal, termene de livrare în funcție de progres.
 Personal...
protecția datelor






Autentificare HTTPS
Expirare sesiuni inactive
Librării standard pentru criptare
SQLcipher
Mec...
criptarea comunicației


Ascultarea traficului:
 echo 1 > /proc/sys/net/ipv4/ip_forward
 arpspoof -i eth0 -t 192.168.2....
divulgare accidentală






Gestiune zone tampon de memorie
Jurnale
Date statistice transmise către terti
Taste apăsa...
autentificare







Server-side
Stocarea credentialelor de acces
Criptare pe baza de chei derivate din
credentiale
T...
sesiuni


Cookies



Creare Token-uri
criptare


Algoritmi
 Custom
 Nesiguri: RC2, MD4, MD5,



Management chei

SHA1
validare




Date transmise de aplicatie/utilizator
Analiza cod aplicatie
Teste manuale de penetrare:
 SQL Injection
...
cod executabil


Decriptare / reverse engineering



Nivel prezentare



Editare executabil
referinţe







http://www.isaca.org/Knowledge-Center/Standards/IS-Audit-and-Assurance
http://en.wikipedia.org/wiki...
contact
INFO-LOGICA SILVERLINE SRL
www.infologica.ro
E-mail:
office@infologica.ro
Vodafone:
072 3233317
Romtelecom: 021 41...
Upcoming SlideShare
Loading in …5
×

Infologica - auditarea aplicatiilor mobile

474 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
474
On SlideShare
0
From Embeds
0
Number of Embeds
13
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Infologica - auditarea aplicatiilor mobile

  1. 1. Auditarea Aplicațiilor Mobile Florin Iliescu, CISA, CISSP – Infologica IT & Infrastructure Security, Hotel Marshal Garden 27 februarie 2014
  2. 2. despre   Înfiinţată în 2004 Servicii       Audit: MF, MCSI, ASF (CNVM/CSA), TRANSFOND Consultanţă: BCP, SMSI, Strategie IT, CobiT, ITIL, ValIT Securitate: Pen-Test, SIEM, Arhitecturi Instruire: Audit, Management, Securitate Externalizare Management de Proiect
  3. 3. audit   Analiza de risc. Securitatea aplicațiilor mobile.       Tehnologii noi; Termene de livrare; Rețele nesecurizate; Subcontractare. Raport, opinie de audit. CISA, standarde de audit ISACA.
  4. 4. controale organizatorice Plan de proiect, grad de încărcare personal, termene de livrare în funcție de progres.  Personal experimentat în folosirea limbajelor de programare specifice aplicațiilor mobile.  Framework dezvoltare, adresarea cerințelor de securitate neasigurate de cadrul de dezvoltare.  Garanții contractuale privind calitatea codului, revizuire, posesie.  Testare detaliată pe fiecare platformă (iOS, Android) 
  5. 5. protecția datelor      Autentificare HTTPS Expirare sesiuni inactive Librării standard pentru criptare SQLcipher Mecanisme specifice sistemelor de operare  Android: setStorageEncryption, javax.crypto’ library  iOS: kSecAttrAccessibleWhenUnlocked, Apple’s File Protection
  6. 6. criptarea comunicației  Ascultarea traficului:  echo 1 > /proc/sys/net/ipv4/ip_forward  arpspoof -i eth0 -t 192.168.2.106 192.168.2.1  device-ip = 192.168.2.106  gw-ip = 192.168.2.1
  7. 7. divulgare accidentală      Gestiune zone tampon de memorie Jurnale Date statistice transmise către terti Taste apăsate URL
  8. 8. autentificare      Server-side Stocarea credentialelor de acces Criptare pe baza de chei derivate din credentiale Token autorizare dispozitiv Autentificare persistentă
  9. 9. sesiuni  Cookies  Creare Token-uri
  10. 10. criptare  Algoritmi  Custom  Nesiguri: RC2, MD4, MD5,  Management chei SHA1
  11. 11. validare    Date transmise de aplicatie/utilizator Analiza cod aplicatie Teste manuale de penetrare:  SQL Injection  Local File Inclusion  JavaScript Injection
  12. 12. cod executabil  Decriptare / reverse engineering  Nivel prezentare  Editare executabil
  13. 13. referinţe       http://www.isaca.org/Knowledge-Center/Standards/IS-Audit-and-Assurance http://en.wikipedia.org/wiki/Mobile_operating_system http://www.markus-falk.com/mobile-frameworks-comparison-chart/ http://www-03.ibm.com/software/products/en/qradar-siem/ http://www.testingsecurity.com/how-to-test/injection-vulnerabilities/Javascript-Injection http://www.pbs.org/wgbh/pages/frontline/shows/hackers/whoare/testimony.html
  14. 14. contact INFO-LOGICA SILVERLINE SRL www.infologica.ro E-mail: office@infologica.ro Vodafone: 072 3233317 Romtelecom: 021 4114548

×