http://groups.google.com/group/gut-amKleitor Franklint

Testes de

segurança

em APP Mobile

Para fazer parte do grupo de teste:

KLEITOR

Entusiasta da Vida, Qualidade,

Colaborativos,Ágil,

Teste e Testes Ágeis. kleitor.franklint@gmail.c

ombr.linkedin.com/in/kfranklint

92-99416-0873

3

Pra quem é

esta

apresentação?

Desenvolvedores,

testadores,

curiosos e outros

envolvidos

4

AGENDA

Um overview...

sobre Riscos e

estratégia de teste de

segurança mobile

...sobre ferramentas

pro time

...e se sobrar tempo...

Vídeo de pentest

5

Notas iniciais

Esta apresentação é utilizada

como material de apoio de um

treinamento meu, sem o qual

ela pode parecer redundante e

pouco esclarecedora.

Tempo usado no celular

6

Por que precisamos de aplicações seguras?

7

HP Research testou mais de 2,000 mobile app em mais de 600 companhias.

97% das apps deram acesso a pelo menos uma fonte de informação privada.

86% das apps falharam no uso de simples proteções contra ataques modernos.

75% das apps não usa técnicas de encriptação adequada ao armazenar dados no dispositivo.

Mobile Application Security Study, 2013 reporthttp://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-1057ENW.pdf

Por que precisamos de aplicações seguras?

8

HP Research testou mais de 2,000 mobile app em mais de 600 companhias.

18% das apps envia usernames e senhas por HTTP, enquanto outros 18% implementa SSL/HTTPS incorretamente

71% das vulnerabilidades residem no Web server

Mobile Application Security Study, 2013 reporthttp://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-1057ENW.pdf

Por que precisamos de aplicações seguras?

Aplicações têm se tornado o alvo primário dos ataques

Applications

Platforms

OS

HW

Volátil

Estável

Muitos

Poucos

Fonte: Information Assurance Directorate, National Security Agency

Por que precisamos de aplicações seguras?

sim, Android Malware’s.sim, Android Malware’s.Por que precisamos de aplicações seguras?

BluetoothNFC/RFIDBackup

Elementos Mobile – Muito Plural!!!Elementos Mobile – Muito Plural!!!

ClientPlatformHardwareNetworkServer

AppApp

Outras considerações

OWASP Mobile Top 10, Beau Woods, http://beauwoods.com

Percepção das AmeaçasE sim, precisamos testá-las

E como andam as iniciativas de segurança mobile?

https://www.owasp.org/index.php/OWASP_Mobile_Security_Project

Como provar que a aplicação está segura?Como provar que a aplicação está segura?

"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt

Teste de segurança em app mobileTeste de segurança em app mobile

"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt

O QUE É?O QUE É?

É teste de invasão ( pen test )?É teste de invasão ( pen test )?

"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt

O QUE É?O QUE É?

É auditoria de apps mobile?

Quem é que realiza?É varredura de vulnerabilidades?É varredura de vulnerabilidades?

Quando realiza?Quando realiza?

É Hacking?É Hacking?

"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt

Teste de segurança é Tudo isso:

HACKING PENTEST AUDITORIA

Agregar valor ao produto sob a dimensão da...

E o objetivo é...?

segurança orientada a valor

Discagem, SMS,PagamentosNão autorizado Conectividade

não

autorizada

Impersoni-ficação

Recuperar

dados

ModificaçãoDo

SistemaBombasLógicas

Vazamento de dados

Teste de segurançaTestar, o que?

M4- Vazamento de dados não

intencional

M3- Proteção insuficiente na

camada de transportes

M2- Armazenamento

inseguro de dados

19

Owasp -Mobile top ten risks

M1- Controle Fraco do

lado servidor

M5- Autenticação e

autorização fracas

Testar, o que?

M6- Quebra deCriptografia

20

M7- Injeção

Client-Side

M8- Decisão de

Segurança por entradas não

confiáveis

M9- ManipulaçãoIndevida de

sessão

M10- Falta de Proteção

binária

Owasp -Mobile top ten risksTestar, o que?

Como o Tester participa?

Scanner automatizado de vulnerabilidades

Análise automatizada

de código

Teste Manual de invasão ( Pen Test )

Revisão manual de código

Falsos Positivos, Falsos Negativos, Camadas indetectáveis.

RISCOS

Teste de segurança em app mobileScanner: A solução de tudo?

Teste de segurança em app mobilePentest: Pra quê?

Como encontrar equilíbrio?Valor x Produtividade

E a eficácia para o

cliente e time?

25

VarreduraQuão rápido e

amplamente posso analisar a superfície?

Exploratório ( Pentest )Que tipos de ataques são relevantes? Qual a parte mais importante a ser protegida: mais impacto, maior risco ao negócio?

Teste continuo+Sprint pequeno + muito feedback

26

Explorar pentest + varredura = done

Como encontra equilíbrio?Valor x Produtividade

Report: Análise de resultado, prazo, valor

Time to marketUsabilidade,

Disponibilidadee Desempenho

Resultados dos Testes

Implicações de Regras de Negócio, outros

APP MOBILERISCOS

CRITICIDADE, IMPACTO, PROBABILIDADE IMPLICAÇÕES

RECOMENDAÇÕES

Ferramentas Ferramentas para o timepara o time

Desenvolvedorese testers

Visões complementares

29

Ferramentas Eng. Ferramentas Eng. ReversaReversa

Manifest Explorer Intent Sniffer

Busybox

ADB

StraceProcrank

Androick

Ferramentas: Análise dinâmica

GoatDroidLab Vuln NowSecure Lab

SeraphimDroid(Security)

MOBISEC

(lab, ambiente)

DroidWall Um monte de outras

DSDroid( Mapear)

Labs, scan e outros

32

No google playNo google play

Como ser um bom pen tester?

"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt

Estudar Teste de Software, SOs, Hardware e interface, redes, db, eng. Software, etc

Estudar humanos: comportamentos sociais e emocionais, tendências...

E se vc gostou ou interessou...

"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt

Treinamento Android Hacking e Pentest

kleitor.franklint@gmail.com

br.linkedin.com/in/kfranklint

99416-0873

Essencial, divertido, desafiador

Quer participar?

Entra em contato.

36

POSSO COLABORAR COM MAIS RESPOSTAS?

kleitor.franklint@gmail.com

br.linkedin.com/in/kfranklint

92-99416-0873