O documento discute testes de segurança em aplicações móveis, destacando a importância de aplicações seguras, as principais ameaças e como equilibrar diferentes abordagens de teste, como varredura de vulnerabilidades e teste manual exploratório. É apresentado um overview de ferramentas para desenvolvedores e testadores.
4. 4
AGENDA
Um overview...
sobre Riscos e estratégia
de teste de segurança
mobile
...sobre ferramentas pro
time
...e se sobrar tempo...
Vídeo de pentest
5. 5
Notas iniciais
Esta apresentação é utilizada
como material de apoio de um
treinamento meu, sem o qual ela
pode parecer redundante e pouco
esclarecedora.
6. Tempo usado no celular
6
Por que precisamos de aplicações seguras?
7. 7
HP Research testou mais de 2,000 mobile app em
mais de 600 companhias.
97% das apps deram acesso a pelo menos uma fonte de informação
privada.
86% das apps falharam no uso de simples proteções contra ataques
modernos.
75% das apps não usa técnicas de encriptação adequada ao
armazenar dados no dispositivo.
Mobile Application Security Study, 2013 report
http://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-1057ENW.pdf
Por que precisamos de aplicações seguras?
8. 8
HP Research testou mais de 2,000 mobile app
em mais de 600 companhias.
18% das apps envia usernames e senhas por HTTP, enquanto
outros 18% implementa SSL/HTTPS incorretamente
71% das vulnerabilidades residem no Web server
Mobile Application Security Study, 2013 report
http://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-1057ENW.pdf
Por que precisamos de aplicações seguras?
9. Aplicações têm se tornado o alvo primário dos ataques
Applications
Platforms
OS
HW
Volátil
Estável
Muitos
Poucos
Fonte: Information Assurance Directorate, National Security Agency
Por que precisamos de aplicações seguras?
11. BluetoothNFC/RFIDBackup
Elementos Mobile – Muito Plural!!!Elementos Mobile – Muito Plural!!!
ClientPlatformHardwareNetworkServer
AppApp
Outras considerações
OWASP Mobile Top 10, Beau Woods, http://beauwoods.com
13. E como andam as iniciativas de
segurança mobile?
https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
14. Como provar que a aplicação está segura?Como provar que a aplicação está segura?
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
15. Teste de segurança em app mobileTeste de segurança em app mobile
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
O QUE É?O QUE É?
16. É teste de invasão ( pen test )?É teste de invasão ( pen test )?
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
O QUE É?O QUE É?
É auditoria de apps mobile?
Quem é que realiza?
É varredura de vulnerabilidades?É varredura de vulnerabilidades?
Quando realiza?Quando realiza?
É Hacking?É Hacking?
17. "Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
Teste de segurança é
Tudo isso:
HACKING PENTES
T
AUDITORI
A
Agregar valor ao produto
sob a dimensão da...
E o objetivo é...?
segurança orientada a valor
19. M4- Vazamento
de dados não
intencional
M3- Proteção
insuficiente na
camada de
transportes
M2-
Armazenamento
inseguro de
dados
19
Owasp -Mobile top ten risks
M1- Controle
Fraco do lado
servidor
M5-
Autenticação e
autorização
fracas
Testar, o que?
21. Como o Tester participa?
Scanner
automatizado de
vulnerabilidades
Análise automatizada
de código
Teste Manual de
invasão ( Pen Test )
Revisão manual de
código
Falsos Positivos, Falsos Negativos, Camadas indetectáveis.
RISCOS
25. 25
Varredura
Quão rápido e amplamente
posso analisar a superfície?
Exploratório ( Pentest )
Que tipos de ataques são
relevantes?
Qual a parte mais importante a ser
protegida: mais impacto, maior risco
ao negócio?
26. Teste continuo+Sprint pequeno +
muito feedback
26
Explorar pentest + varredura = done
Como encontra equilíbrio?
Valor x Produtividade
27. Report: Análise de resultado, prazo, valor
Time to market
Usabilidade,
Disponibilidade
e Desempenho
Resultados dos Testes
Implicações de Regras
de Negócio, outros
APP MOBILE
RISCOS
CRITICIDADE, IMPACTO, PROBABILIDADE IMPLICAÇÕES
RECOMENDAÇÕES
33. Como ser um bom pen tester?
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
Estudar Teste de
Software, SOs,
Hardware e interface,
redes, db, eng.
Software, etc
Estudar humanos:
comportamentos sociais
e emocionais,
tendências...
34. E se vc gostou
ou interessou...
"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
35. Treinamento
Android Hacking e Pentest
kleitor.franklint@gmail.com
br.linkedin.com/in/kfranklint
99416-0873
Essencial, divertido, desafiador
Quer participar?
Entra em
contato.
36. 36
POSSO COLABORAR COM
MAIS RESPOSTAS?
kleitor.franklint@gmail.com
br.linkedin.com/in/kfranklint
92-99416-0873