1. Auditarea Aplicațiilor Mobile
Florin Iliescu, CISA, CISSP – Infologica
IT & Infrastructure Security, Hotel Marshal
Garden
27 februarie 2014

2. despre


Înfiinţată în 2004
Servicii






Audit: MF, MCSI, ASF (CNVM/CSA), TRANSFOND
Consultanţă: BCP, SMSI, Strategie IT, CobiT, ITIL, ValIT
Securitate: Pen-Test, SIEM, Arhitecturi
Instruire: Audit, Management, Securitate
Externalizare
Management de Proiect

3. audit


Analiza de risc.
Securitatea aplicațiilor mobile.






Tehnologii noi;
Termene de livrare;
Rețele nesecurizate;
Subcontractare.
Raport, opinie de audit.
CISA, standarde de audit ISACA.

4. controale organizatorice
Plan de proiect, grad de încărcare
personal, termene de livrare în funcție de progres.
 Personal experimentat în folosirea limbajelor de
programare specifice aplicațiilor mobile.
 Framework dezvoltare, adresarea cerințelor de
securitate neasigurate de cadrul de dezvoltare.
 Garanții contractuale privind calitatea
codului, revizuire, posesie.
 Testare detaliată pe fiecare platformă
(iOS, Android)


5. protecția datelor





Autentificare HTTPS
Expirare sesiuni inactive
Librării standard pentru criptare
SQLcipher
Mecanisme specifice sistemelor de operare
 Android: setStorageEncryption, javax.crypto’ library
 iOS: kSecAttrAccessibleWhenUnlocked, Apple’s File
Protection

6. criptarea comunicației

Ascultarea traficului:
 echo 1 > /proc/sys/net/ipv4/ip_forward
 arpspoof -i eth0 -t 192.168.2.106 192.168.2.1
 device-ip = 192.168.2.106
 gw-ip = 192.168.2.1

7. divulgare accidentală





Gestiune zone tampon de memorie
Jurnale
Date statistice transmise către terti
Taste apăsate
URL

8. autentificare





Server-side
Stocarea credentialelor de acces
Criptare pe baza de chei derivate din
credentiale
Token autorizare dispozitiv
Autentificare persistentă

9. sesiuni

Cookies

Creare Token-uri

10. criptare

Algoritmi
 Custom
 Nesiguri: RC2, MD4, MD5,

Management chei
SHA1

11. validare



Date transmise de aplicatie/utilizator
Analiza cod aplicatie
Teste manuale de penetrare:
 SQL Injection
 Local File Inclusion
 JavaScript Injection

12. cod executabil

Decriptare / reverse engineering

Nivel prezentare

Editare executabil

13. referinţe






http://www.isaca.org/Knowledge-Center/Standards/IS-Audit-and-Assurance
http://en.wikipedia.org/wiki/Mobile_operating_system
http://www.markus-falk.com/mobile-frameworks-comparison-chart/
http://www-03.ibm.com/software/products/en/qradar-siem/
http://www.testingsecurity.com/how-to-test/injection-vulnerabilities/Javascript-Injection
http://www.pbs.org/wgbh/pages/frontline/shows/hackers/whoare/testimony.html

14. contact
INFO-LOGICA SILVERLINE SRL
www.infologica.ro
E-mail:
office@infologica.ro
Vodafone:
072 3233317
Romtelecom: 021 4114548