Il documento tratta la protezione delle applicazioni mobili, sottolineando l'importanza della sicurezza attraverso metodologie come OWASP e OSSTMM. Viene evidenziata l'analisi delle vulnerabilità, il controllo dell'identificazione e l'autenticazione, così come la gestione delle sessioni e la protezione dei dati durante la comunicazione. Infine, si enfatizza il concetto che la sicurezza deve essere integrata fin dalla fase di sviluppo per prevenire le violazioni.

1. Hackers
vs
Developers
proteggere
le
applicazioni
mobile
tra
OWASP
e
OSSTMM

2. Cri$cal
Services
Security

3. Grazie!

4. proteggere
le
applicazioni
mobile
tra
OWASP
e
OSSTMM
HACKERS
VS
DEVELOPERS

6. “In
breve,
questo
è
il
metodo
per
organizzare
le
operazioni
militari”
–
Sun
Tzu
(L’arte
della
guerra)
OSSTMM

7. minaccia
-­‐>
controllo
(-­‐
limitazioni)
-­‐>
bene

8. “security
is
about
protec$on”
Pete
Herzog
-­‐
No
More
of
the
Same
Bad
Security

9. Visibility
opera7ons

10. Exposure!
visibility
-­‐
limita7on

11. Access
opera7ons

12. Trust
opera7ons

13. Vulnerability!
Visibility/trust
-­‐
limita7on

14. Authen;ca;on
controls
–
class
a
(interac7ve)

15. Indemnifica;on
controls
–
class
a
(interac7ve)

16. Resilience
controls
–
class
a
(interac7ve)

17. Subjuga;on
controls
–
class
a
(interac7ve)

18. Con;nuity
controls
–
class
a
(interac7ve)

19. Weakness!
limita7on
–
class
a
(interac7ve)

20. Non-­‐Repudia;on
controls
–
class
b
(process)

21. Confiden;ality
controls
–
class
b
(process)

22. Privacy
controls
–
class
b
(process)

23. Integrity
controls
–
class
b
(process)

24. Alarm
controls
–
class
b
(process)

25. Concern!
limita7on
–
class
b
(process)

26. category opesec limita;ons
Visibility Exposure!
opera;ons
Access
Vulnerability!
Trust
Authen;ca;on
Indemnifica;on
Class
A Resiliance Weakness!
Subguga;on
Con;nuity
controls
Non-­‐Repudia;on
Confiden;ality
Class
B Privacy Concern!
Integrity
Alarm
Anomalies
OSSTMM
-­‐
Limita;ons
mapping

27. “Conosci
il
tuo
nemico”
–
Sun
Tzu
(L’arte
della
guerra)
THREAT
MODELING
FOR
DUMMIES

28. Minacce
e
ARacchi
Mobile Web
Server Applica;on
Server Database
server
App
D.V.
Web
Service
S.M.
HTTP/CM
D.V.
(I/O)
Source
T.L.P
D.A.
B.L.
AT Data
E.H.A.L.
AZ
API
/
Apps
E.H.A.L. E.H.A.L. E.H.A.L
O.S. FS
Host Host Host
HW
Beni
Stru?ura
;po
di
una
app
mobile
MVC

29. Insecure
Data
Storage

30. Weak
Server
Side
Controls

31. Insufficient
Transport
Layer
Protec;on

32. Client
Side
Injec;on

33. Poor
Authoriza;on
and
Authen;ca;on

34. Improper
Session
Handling

35. Security
Decisions
Via
Untrusted
Inputs

36. Side
Channel
Data
Leakage

37. Broken
Cryptography

38. Sensi;ve
Informa;on
Disclosure

39. “never
trust
the
user
input,
output
too”
DATA
VALIDATION
(INPUT/OUTPUT)

40. M4
Client
Side
Injec;on,
M7
Security
Decisions
via
untrusted
inputs
Au Id Re Su Ct NR Cf Pr It Al
Data
Valida$on
su
Mobile
verificare
SEMPRE
i
da7
che
riceviamo
codice
(X)HTML
URL/URI
con
vari
protocolli
privilegi
minini
per
le
applicazioni
le
sandbox

41. Skype
iOS
insecure
handling

42. M2
Weak
Server
side
controls
(OWASP
TOP
10
WEB
in
generale)
Au Id Re Su Ct NR Cf Pr It Al
Il
web
server
(Data
Valida$on
e
altro...)
anche
se
i
da7
sono
gia
sta7
valida7
dall’applicazione,
vanno
verifica7
anche
sul
server*
(inoltre
anche
la
componente
web
deve
essere
proteQa)

43. “Avrebbero
potuto
analizzare
e
meVere
su
carta,
nei
minimi
parWcolari,
tuVo
quello
che
s'era
faVo,
s'era
deVo
e
s'era
pensato”
–
Winston
Smith
(1984)
ERROR
HANDLING
AND
LOGGING

44. M8
Side
Channel
Data
Leakage
Au Id Re Su Ct NR Cf Pr It Al
File
System
non
devono
essere
salvate
informazioni
riservate
su
filesystem
(chache,
log,
screenshot,
temp)
cancellare
sempre
i
file
dopo
l’u7lizzo...
...
e
aQenzione
ai
permessi
sui
file!

45. lion
exposes
filevault
password

46. “Sì,
ma
tu
chi
sei?”
–
Neo
a
Seraph
(The
Matrix:
Reloaded)
AUTENTICAZIONE
(AT)

47. M5
Poor
Authen;ca;on
and
Authoriza;on
Au Id Re Su Ct NR Cf Pr It Al
Il
sistema
di
auten$cazione
Implementata
lato
server
AVenzione
ad
usare
idenWficaWvi
hw
ProteVa
nella
comunicazione
(TLP*)

48. u;lizzo
del
deviceid

49. “sa
dirmi
cosa
darebbe
pur
di
mantenere
viva
tale
interazione?”
–
Rama
(The
Matrix:
RevoluWons)
SESSION
MANAGEMENT
(S.M.)

50. M6
Session
Handling
(Session
Fixa;on,
Session
Hijacking/Cookie
Stealing,
Session
ID
Analysis)
Au Id Re Su Ct NR Cf Pr It Al
La
sessione
di
per
se
(tra
device
e
server)
Sempre
verificata
Non
permeVere
sessioni
contemporanee*
DistruVa
per
Wmeout
relaWvo
e
assoluto
(cookie,
token,
oauth)

51. session
aIer
death

52. “Sei
sicuro
che
questa
linea
è
sicura?”
–
Trinity
(The
Matrix)
TRANSPORT
LAYER
PROTECTION

53. M3
Insufficent
Transport
Layer
Protec;on
Au Id Re Su Ct NR Cf Pr It Al
La
comunicazione
Vanno
proteU
tuU
i
da7
sensibili
(credenziali,
id
di
sessione,
cookie,
da7
degli
uten7…)

54. richiesta
authToken
per
ClientLogin
(Picasa)

55. “Ecco
faVo,
il
segreto
è
questo”
–
Oracolo
(The
Matrix
-­‐
RevoluWons)
DATI
(CODICE
E
SEGRETI)

56. M10
Informa;on
disclosure
Au Id Re Su Ct NR Cf Pr It Al
Il
codice
sorgente
password
o
altre
informazioni
sensibili
hardcoded
algoritmi
e
procedure
proprietarie

57. M9
Broken
Crypto
M1
Insecure
Data
Storage
Au Id Re Su Ct NR Cf Pr It Al
I
da$
da
mantenere
segre$
U7lizzare
le
Crypto
API
specifiche
del
S.O.
evitare
il
filesystem
tenerla
sul
server

58. ldc literal_876:"QlVtT0JoVmY2N2E=”!
invokestatic byte[]
decode( java.lang.String )
invokespecial_lib java.lang.String.<init> //
pc=2!
astore 8!
!
private final byte[]
com.picuploader.BizProcess.SendRequest.routine_
12998 !
(com.picuploader.BizProcess.SendRequest,
byte[], byte[] );!
{!
enter!
new_lib
net.rim.device.api.crypto.TripleDESKey!
!
cri?ografia
vs
encoding

59. :)
GRAZIE!
Q/A?

60. ISECOM
OSSTMM
Microsok
SDL
OWASP
TesWng
Guide
OWASP
Developer’s
Guide
OWASP
Code
Review
Guide
OWASP
ASVS
OWASP
ASDR
RIFERIMENTI