Mobile App Security Test

472 visualizações

Publicada em

O overview sobre teste de segurança para aplicações mobile, riscos e estratégia de teste .

Publicada em: Tecnologia
2 comentários
0 gostaram
Estatísticas
Notas
  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
472
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
6
Comentários
2
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Mobile App Security Test

  1. 1. http://groups.google.com/group/gut-amKleitor Franklint Testes de segurança em APP Mobile Para fazer parte do grupo de teste:
  2. 2. KLEITOR Entusiasta da Vida, Qualidade, Colaborativos, Ágil, Teste e Testes Ágeis. kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873
  3. 3. 3 Pra quem é esta apresentação? Desenvolvedores, testadores, curiosos e outros envolvidos
  4. 4. 4 AGENDA Um overview... sobre Riscos e estratégia de teste de segurança mobile ...sobre ferramentas pro time ...e se sobrar tempo... Vídeo de pentest
  5. 5. 5 Notas iniciais Esta apresentação é utilizada como material de apoio de um treinamento meu, sem o qual ela pode parecer redundante e pouco esclarecedora.
  6. 6. Tempo usado no celular 6 Por que precisamos de aplicações seguras?
  7. 7. 7 HP Research testou mais de 2,000 mobile app em mais de 600 companhias. 97% das apps deram acesso a pelo menos uma fonte de informação privada. 86% das apps falharam no uso de simples proteções contra ataques modernos. 75% das apps não usa técnicas de encriptação adequada ao armazenar dados no dispositivo. Mobile Application Security Study, 2013 report http://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-1057ENW.pdf Por que precisamos de aplicações seguras?
  8. 8. 8 HP Research testou mais de 2,000 mobile app em mais de 600 companhias. 18% das apps envia usernames e senhas por HTTP, enquanto outros 18% implementa SSL/HTTPS incorretamente 71% das vulnerabilidades residem no Web server Mobile Application Security Study, 2013 report http://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-1057ENW.pdf Por que precisamos de aplicações seguras?
  9. 9. Aplicações têm se tornado o alvo primário dos ataques Applications Platforms OS HW Volátil Estável Muitos Poucos Fonte: Information Assurance Directorate, National Security Agency Por que precisamos de aplicações seguras?
  10. 10. sim, Android Malware’s.sim, Android Malware’s. Por que precisamos de aplicações seguras?
  11. 11. BluetoothNFC/RFIDBackup Elementos Mobile – Muito Plural!!!Elementos Mobile – Muito Plural!!! ClientPlatformHardwareNetworkServer AppApp Outras considerações OWASP Mobile Top 10, Beau Woods, http://beauwoods.com
  12. 12. Percepção das Ameaças E sim, precisamos testá-las
  13. 13. E como andam as iniciativas de segurança mobile? https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
  14. 14. Como provar que a aplicação está segura?Como provar que a aplicação está segura? "Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
  15. 15. Teste de segurança em app mobileTeste de segurança em app mobile "Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt O QUE É?O QUE É?
  16. 16. É teste de invasão ( pen test )?É teste de invasão ( pen test )? "Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt O QUE É?O QUE É? É auditoria de apps mobile? Quem é que realiza? É varredura de vulnerabilidades?É varredura de vulnerabilidades? Quando realiza?Quando realiza? É Hacking?É Hacking?
  17. 17. "Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt Teste de segurança é Tudo isso: HACKING PENTES T AUDITORI A Agregar valor ao produto sob a dimensão da... E o objetivo é...? segurança orientada a valor
  18. 18. Discagem, SMS, Pagamentos Não autorizado Conectividade não autorizada Impersoni- ficação Recuperar dados Modificação Do Sistema Bombas Lógicas Vazamento de dados Teste de segurança Testar, o que?
  19. 19. M4- Vazamento de dados não intencional M3- Proteção insuficiente na camada de transportes M2- Armazenamento inseguro de dados 19 Owasp -Mobile top ten risks M1- Controle Fraco do lado servidor M5- Autenticação e autorização fracas Testar, o que?
  20. 20. M6- Quebra de Criptografia 20 M7- Injeção Client-Side M8- Decisão de Segurança por entradas não confiáveis M9- Manipulação Indevida de sessão M10- Falta de Proteção binária Owasp -Mobile top ten risks Testar, o que?
  21. 21. Como o Tester participa? Scanner automatizado de vulnerabilidades Análise automatizada de código Teste Manual de invasão ( Pen Test ) Revisão manual de código Falsos Positivos, Falsos Negativos, Camadas indetectáveis. RISCOS
  22. 22. Teste de segurança em app mobile Scanner: A solução de tudo?
  23. 23. Teste de segurança em app mobile Pentest: Pra quê?
  24. 24. Como encontrar equilíbrio? Valor x Produtividade E a eficácia para o cliente e time?
  25. 25. 25 Varredura Quão rápido e amplamente posso analisar a superfície? Exploratório ( Pentest ) Que tipos de ataques são relevantes? Qual a parte mais importante a ser protegida: mais impacto, maior risco ao negócio?
  26. 26. Teste continuo+Sprint pequeno + muito feedback 26 Explorar pentest + varredura = done Como encontra equilíbrio? Valor x Produtividade
  27. 27. Report: Análise de resultado, prazo, valor Time to market Usabilidade, Disponibilidade e Desempenho Resultados dos Testes Implicações de Regras de Negócio, outros APP MOBILE RISCOS CRITICIDADE, IMPACTO, PROBABILIDADE IMPLICAÇÕES RECOMENDAÇÕES
  28. 28. FerramentasFerramentas para o timepara o time Desenvolvedores e testers Visões complementares
  29. 29. 29 Ferramentas Eng. ReversaFerramentas Eng. Reversa
  30. 30. Manifest Explorer Intent Sniffer Busybox ADB Strace Procrank Androick Ferramentas: Análise dinâmica
  31. 31. GoatDroid Lab Vuln NowSecureLab Seraphim Droid(Security) MOBISEC (lab, ambiente) DroidWall Um monte de outras DSDroid ( Mapear) Labs, scan e outros
  32. 32. 32 No google playNo google play
  33. 33. Como ser um bom pen tester? "Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt Estudar Teste de Software, SOs, Hardware e interface, redes, db, eng. Software, etc Estudar humanos: comportamentos sociais e emocionais, tendências...
  34. 34. E se vc gostou ou interessou... "Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt
  35. 35. Treinamento Android Hacking e Pentest kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 99416-0873 Essencial, divertido, desafiador Quer participar? Entra em contato. 
  36. 36. 36 POSSO COLABORAR COM MAIS RESPOSTAS? kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 92-99416-0873

×