SlideShare uma empresa Scribd logo

Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.05.14

Siber Güvenlik Derneği
Siber Güvenlik Derneği

Siber Güvenlik Konferansı'14 etkinliğinde N. Şenol Yılmaz tarafından gerçekleştirilen sunum dosyasıdır.

Tecnologia
1 de 40
Baixar para ler offline
Mobil Uygulamalarda Güvenlik Denetimi Nebi Şenol YILMAZ Danışman / Yönetici Ortak senol.yilmaz@secrove.com Secrove Information Security Consulting
Secrove Information Security Consulting 2 Ajanda ● Hakkımızda ● Mobil Dünya ● Güvenlik İhtiyacı ● Uygulama Denetimi ● Örnek Uygulama
Secrove Information Security Consulting 3 Hakkımızda ● Nebi Şenol YILMAZ, CISA, C|EH, ISO 27001 LA ● Secrove Information Security Consulting ● Bilgi Güvenliği Danışmanlığı ● Zafiyet Araştırmaları ● Bilgi Güvenliği Eğitimleri ● Siber İstihbarat Çalışmaları
Secrove Information Security Consulting 4 Mobil Dünya ●Gözümüz ●Kulağımız ●Dilimiz haline geldi...
Secrove Information Security Consulting 5 Mobil Dünya İşimiz artık parmaklarımızın ucunda, ya da ....
Secrove Information Security Consulting 6 Mobil Dünya Avucumuzun içinde ....
Secrove Information Security Consulting 7 Mobil Dünya :) ve bütün hizmetler önümüze geliyor ....
Secrove Information Security Consulting 8 Güvenlik İhtiyacı
Secrove Information Security Consulting 9 Güvenlik İhtiyacı
Secrove Information Security Consulting 10 Uygulama Denetimi ● Ağ Üzerinde Denetim ● Statik Kod Analizi ● Dinamik Analiz
Secrove Information Security Consulting 11 Uygulama Denetimi ● Ağ Üzerinde Denetim Internet
Secrove Information Security Consulting 12 Uygulama Denetimi ● Ağ Üzerinde Denetim ● Veriler açık olarak mı iletiliyor? ● Gizli veri sızdırma mevcut mu? ● Veriler manipüle edilebiliryor mu? ● Manipülasyon sunucu tarafında zafiyet oluşturuyor mu?
Secrove Information Security Consulting 13 Uygulama Denetimi ● Statik Kod Analizi
Secrove Information Security Consulting 14 Uygulama Denetimi ● Statik Kod Analizi ● Otomatik araçlar ile kod analizi ● Uzman insan kaynağı ile kod analizi
Secrove Information Security Consulting 15 Uygulama Denetimi ● Dinamik Analiz
Secrove Information Security Consulting 16 Uygulama Denetimi ● Dinamik Analiz ● Uygulamanın çalışması sırasında manipülasyon yapmamızı sağlar. ● Client-side kontrollerin hepsi by-pass edilebilir. ● Gizlenmiş fonksiyonların çağrılması sağlanabilir. ● Gizlenmiş veriler dump olarak alınabilir.
Secrove Information Security Consulting 17 Uygulama Denetimi ● Dinamik Analiz ● Debugger (gdb) ● Otool ● Class-dump-z ● Snoop-it ● Cycript
Secrove Information Security Consulting 18 Uygulama Denetimi ● Dinamik Analiz ● Debugger (gdb)
Secrove Information Security Consulting 19 Uygulama Denetimi ● Dinamik Analiz ● otool
Secrove Information Security Consulting 20 Uygulama Denetimi ● Dinamik Analiz ● class-dump-z
Secrove Information Security Consulting 21 Uygulama Denetimi ● Dinamik Analiz ● Snoop-it
Secrove Information Security Consulting 22 Uygulama Denetimi ● Dinamik Analiz ● cycript
Secrove Information Security Consulting 23 Uygulama Denetimi ● Örnek Uygulama ● Cycript ● Görsel özelliklerde işlem yapabiliriz ● SpringBoard üzerinde işlemler gerçekleştirmek ● Fonksiyon özelliklerinde işlem yapabiliriz ● PhotoVault uygulamasında authentication by-pass gerçekleştirmek
Secrove Information Security Consulting 24 Örnek Uygulama - cycript ● İlk olarak jailbreak yapılmış telefonumuza: ● Cycript ● Class-dump-z kurmalıyız.
Secrove Information Security Consulting 25 Örnek Uygulama - cycript ● SSH ile telefona erişip, üzerinde işlem yapacağımız uygulamayı seçeceğiz:
Secrove Information Security Consulting 26 Örnek Uygulama - cycript ● Cycript ile, işlem yapacağımız process'e attach olacağız: ● Ağaç yapısında uygulama window görsellerine erişeceğiz:
Secrove Information Security Consulting 27 Örnek Uygulama - cycript ● Hedefimizde uygulamaların “icon”ları var. ● Görsel “subview” özelliklerini kullanarak “SBIconView”a erişeceğiz.
Secrove Information Security Consulting 28 Örnek Uygulama - cycript ● Uygulama “icon”larına eriştiğimize göre, işlem yapabiliriz. ● Bir uygulama'yi görünmez yapalım. ● İlgili object'in “setHidden” metodunu çağırıyoruz. ● Metod çağırırken komutları [.....] içerisinde kullanıyoruz.
Secrove Information Security Consulting 29 Örnek Uygulama - cycript ● Object'ler hiyerarşik olduğu için bir üst subview üzerinde işlem yapalım. ● Eriştiğimiz “subview” icon container olduğu için container içideki bütün “icon”lar kayboldu.
Secrove Information Security Consulting 30 Örnek Uygulama - cycript ● Object'lerde daha üste çıktığımızda... ● Artık masaüstünü tamamen gizlemiş olduk.
Secrove Information Security Consulting 31 Örnek Uygulama - cycript ● ... ve herşeyi geri getirelim... ● setHidden: NO
Secrove Information Security Consulting 32 Örnek Uygulama - cycript ● Şimdi de PhotoVault uygulamasına bir bakalım. ● Uygulama giriş için parola istiyor... ● Bu ekranı by-pass edebilir miyiz?
Secrove Information Security Consulting 33 Örnek Uygulama - cycript ● Cycript ile uygulamaya attach olup, bu ekranı geçmeye ilişkin fonksiyon çağrısı yapabilirsek, by-pass etmiş olacağız. ● Bunun için “Application Delegate” içerisindeki fonksiyonlara göz atmamız gerekiyor. ● Bu noktada “class-dump-z” kullanacağız.
Secrove Information Security Consulting 34 Örnek Uygulama - cycript ● Uygulamaya attach olup, adım adım ilerleyelim... ● Process ID: 4791 ● Application Delegate: “AppDelegate” ● Class-dump-z ile uygulamanın class-dump'ını alıp işimize yarayacak fonksiyonlara bakabiliriz.
Secrove Information Security Consulting 35 Örnek Uygulama - cycript ● Uygulamayı dump edip, “AppDelegate” içindeki fonksiyonları inceleyelim.
Secrove Information Security Consulting 36 Örnek Uygulama - cycript ● Bu fonksiyonlar içinde “pinLockControllerDidFinishUnlocking” isminde bir fonksiyon mevcut. Denemeye değer...
Secrove Information Security Consulting 37 Örnek Uygulama - cycript ● Cycript içinden “pinLockControllerDidFinishUnlocking” fonksiyonunu call ediyoruz.
Secrove Information Security Consulting 38 Örnek Uygulama - cycript ● Fonksiyon çağrımız işe yarıyor ve authentication ekranını by-pass etmiş oluyoruz ● Peki başka neler yapabiliriz? ● PhotoVault Uygulamasının “iconBadge”ini değiştirelim.
Secrove Information Security Consulting 39 Örnek Uygulama - cycript ● Uygulamanın belleğinde işlem yapmamıza iman sağlayan “cycript” ile ● Uygulama arayüzüne ilişkin manipülasyonlar ● Uygulama içindeki değişkenlere ilişkin manipülasyonlar ● Uygulam içindeki fonksiyon çağrılarına ilişkin manipülasyonlar gerçekleştirilerek, uygulama içerisindeki kontroller by-pass edilebilmektedir.
Secrove Information Security Consulting 40 Teşekkürler !

Recomendados

BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...Siber Güvenlik Derneği
 
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...Siber Güvenlik Derneği
 
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...Siber Güvenlik Derneği
 
An Analysis of Adjectives Used in Suicide Notes in Terms of Positivity/Negati...
An Analysis of Adjectives Used in Suicide Notes in Terms of Positivity/Negati...An Analysis of Adjectives Used in Suicide Notes in Terms of Positivity/Negati...
An Analysis of Adjectives Used in Suicide Notes in Terms of Positivity/Negati...Mavi Kep
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıAhmet Gürel
 

Recomendados

BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...
Sızma Testlerinde Fiziksel Güvenlik - Ozan Uçar #SiberGuvenlikKonferansi 14.0...Siber Güvenlik Derneği
 
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...Siber Güvenlik Derneği
 
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14
Asal Sayılar ve Şifreleme - H. Coşkun Gündüz #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...
Bilgi güvenliği ve oyunlaştırma(Lite) - Yunus Çadırcı #SiberGuvenlikKonferans...Siber Güvenlik Derneği
 
An Analysis of Adjectives Used in Suicide Notes in Terms of Positivity/Negati...
An Analysis of Adjectives Used in Suicide Notes in Terms of Positivity/Negati...An Analysis of Adjectives Used in Suicide Notes in Terms of Positivity/Negati...
An Analysis of Adjectives Used in Suicide Notes in Terms of Positivity/Negati...Mavi Kep
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıAhmet Gürel
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIAhmet Pekel
 
guvenlik yonetim 113L (1).pdf
guvenlik yonetim 113L (1).pdfguvenlik yonetim 113L (1).pdf
guvenlik yonetim 113L (1).pdfYunusEmreKK1
 
guvenlik yonetim 113L.pdf
guvenlik yonetim 113L.pdfguvenlik yonetim 113L.pdf
guvenlik yonetim 113L.pdfYunusEmreKK1
 
Watchguard Firewall Genel Bakış
Watchguard Firewall Genel BakışWatchguard Firewall Genel Bakış
Watchguard Firewall Genel BakışÖzden Aydın
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiSparta Bilişim
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım GüvenliğiUğur Tılıkoğlu
 
Agile (cevik) yaklasim_ile_scrum_yontemi-savas-dogan-cc-by
Agile (cevik) yaklasim_ile_scrum_yontemi-savas-dogan-cc-byAgile (cevik) yaklasim_ile_scrum_yontemi-savas-dogan-cc-by
Agile (cevik) yaklasim_ile_scrum_yontemi-savas-dogan-cc-bySavaş DOĞAN
 
Güvenlik Yönetimi 59 low.pdf
Güvenlik Yönetimi 59 low.pdfGüvenlik Yönetimi 59 low.pdf
Güvenlik Yönetimi 59 low.pdfYunusEmreKK1
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriAdeo Security
 
Bilgi sis..
Bilgi sis..Bilgi sis..
Bilgi sis..Emrah Gürcan
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC KurulumuBGA Cyber Security
 
Android app security
Android app securityAndroid app security
Android app securityMurat Aydın
 
ServisNET Security Solutions
ServisNET Security SolutionsServisNET Security Solutions
ServisNET Security SolutionsHakki Aydin Ucar
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...BGA Cyber Security
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarTurkIOT
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Agile cevik yaklasim ile scrum yontemi
Agile cevik yaklasim ile scrum yontemiAgile cevik yaklasim ile scrum yontemi
Agile cevik yaklasim ile scrum yontemiBurak COŞKUN
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Cihan Özhan
 
Siber Güvenlik Raporu-SGD
Siber Güvenlik Raporu-SGDSiber Güvenlik Raporu-SGD
Siber Güvenlik Raporu-SGDSiber Güvenlik Derneği
 
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...Siber Güvenlik Derneği
 

Mais conteúdo relacionado

Semelhante a Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.05.14

GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIAhmet Pekel
 
guvenlik yonetim 113L (1).pdf
guvenlik yonetim 113L (1).pdfguvenlik yonetim 113L (1).pdf
guvenlik yonetim 113L (1).pdfYunusEmreKK1
 
guvenlik yonetim 113L.pdf
guvenlik yonetim 113L.pdfguvenlik yonetim 113L.pdf
guvenlik yonetim 113L.pdfYunusEmreKK1
 
Watchguard Firewall Genel Bakış
Watchguard Firewall Genel BakışWatchguard Firewall Genel Bakış
Watchguard Firewall Genel BakışÖzden Aydın
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiSparta Bilişim
 
Agile (cevik) yaklasim_ile_scrum_yontemi-savas-dogan-cc-by
Agile (cevik) yaklasim_ile_scrum_yontemi-savas-dogan-cc-byAgile (cevik) yaklasim_ile_scrum_yontemi-savas-dogan-cc-by
Agile (cevik) yaklasim_ile_scrum_yontemi-savas-dogan-cc-bySavaş DOĞAN
 
Güvenlik Yönetimi 59 low.pdf
Güvenlik Yönetimi 59 low.pdfGüvenlik Yönetimi 59 low.pdf
Güvenlik Yönetimi 59 low.pdfYunusEmreKK1
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriAdeo Security
 
Android app security
Android app securityAndroid app security
Android app securityMurat Aydın
 
ServisNET Security Solutions
ServisNET Security SolutionsServisNET Security Solutions
ServisNET Security SolutionsHakki Aydin Ucar
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...BGA Cyber Security
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarTurkIOT
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Agile cevik yaklasim ile scrum yontemi
Agile cevik yaklasim ile scrum yontemiAgile cevik yaklasim ile scrum yontemi
Agile cevik yaklasim ile scrum yontemiBurak COŞKUN
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Cihan Özhan
 

Semelhante a Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.05.14 (20)

GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGI
 
guvenlik yonetim 113L (1).pdf
guvenlik yonetim 113L (1).pdfguvenlik yonetim 113L (1).pdf
guvenlik yonetim 113L (1).pdf
 
guvenlik yonetim 113L.pdf
guvenlik yonetim 113L.pdfguvenlik yonetim 113L.pdf
guvenlik yonetim 113L.pdf
 
Watchguard Firewall Genel Bakış
Watchguard Firewall Genel BakışWatchguard Firewall Genel Bakış
Watchguard Firewall Genel Bakış
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım Güvenliği
 
Agile (cevik) yaklasim_ile_scrum_yontemi-savas-dogan-cc-by
Agile (cevik) yaklasim_ile_scrum_yontemi-savas-dogan-cc-byAgile (cevik) yaklasim_ile_scrum_yontemi-savas-dogan-cc-by
Agile (cevik) yaklasim_ile_scrum_yontemi-savas-dogan-cc-by
 
Güvenlik Yönetimi 59 low.pdf
Güvenlik Yönetimi 59 low.pdfGüvenlik Yönetimi 59 low.pdf
Güvenlik Yönetimi 59 low.pdf
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim Yetkinlikleri
 
Bilgi sis..
Bilgi sis..Bilgi sis..
Bilgi sis..
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
Android app security
Android app securityAndroid app security
Android app security
 
ServisNET Security Solutions
ServisNET Security SolutionsServisNET Security Solutions
ServisNET Security Solutions
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
Agile cevik yaklasim ile scrum yontemi
Agile cevik yaklasim ile scrum yontemiAgile cevik yaklasim ile scrum yontemi
Agile cevik yaklasim ile scrum yontemi
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
 

Mais de Siber Güvenlik Derneği

Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...Siber Güvenlik Derneği
 
Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14
Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14
Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Android'de Parmak Kaldırmadan Konuşmak - Oğuzhan Topgül #SiberGuvenlikKonfera...
Android'de Parmak Kaldırmadan Konuşmak - Oğuzhan Topgül #SiberGuvenlikKonfera...Android'de Parmak Kaldırmadan Konuşmak - Oğuzhan Topgül #SiberGuvenlikKonfera...
Android'de Parmak Kaldırmadan Konuşmak - Oğuzhan Topgül #SiberGuvenlikKonfera...Siber Güvenlik Derneği
 
Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...
Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...
Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...Siber Güvenlik Derneği
 
Uygulama guvenligi gunu - malicious web sites
Uygulama guvenligi gunu - malicious web sitesUygulama guvenligi gunu - malicious web sites
Uygulama guvenligi gunu - malicious web sitesSiber Güvenlik Derneği
 
Uygulama Güvenliği Günü 2012 - Siber Güvenlik Derneği
Uygulama Güvenliği Günü 2012 - Siber Güvenlik DerneğiUygulama Güvenliği Günü 2012 - Siber Güvenlik Derneği
Uygulama Güvenliği Günü 2012 - Siber Güvenlik DerneğiSiber Güvenlik Derneği
 
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Derneği
 
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Derneği
 
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013Siber Güvenlik Derneği
 
Siber Güvenlik Konferansı'14 Tanıtım Sunumu
Siber Güvenlik Konferansı'14 Tanıtım SunumuSiber Güvenlik Konferansı'14 Tanıtım Sunumu
Siber Güvenlik Konferansı'14 Tanıtım SunumuSiber Güvenlik Derneği
 
Siber Güvenlik Konferansı'14 Sponsorluk Sunumu
Siber Güvenlik Konferansı'14 Sponsorluk SunumuSiber Güvenlik Konferansı'14 Sponsorluk Sunumu
Siber Güvenlik Konferansı'14 Sponsorluk SunumuSiber Güvenlik Derneği
 

Mais de Siber Güvenlik Derneği (16)

Siber Güvenlik Raporu-SGD
Siber Güvenlik Raporu-SGDSiber Güvenlik Raporu-SGD
Siber Güvenlik Raporu-SGD
 
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
Bulut Teknolojileri ile Siber Güvenliği Sağlamak - Oğuz Pastırmacı #SiberGuve...
 
Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14
Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14
Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14
 
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14
Android ve Zararlı Uygulamalar - İbrahim Baliç #SiberGuvenlikKonferansi 14.05.14
 
Android'de Parmak Kaldırmadan Konuşmak - Oğuzhan Topgül #SiberGuvenlikKonfera...
Android'de Parmak Kaldırmadan Konuşmak - Oğuzhan Topgül #SiberGuvenlikKonfera...Android'de Parmak Kaldırmadan Konuşmak - Oğuzhan Topgül #SiberGuvenlikKonfera...
Android'de Parmak Kaldırmadan Konuşmak - Oğuzhan Topgül #SiberGuvenlikKonfera...
 
Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...
Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...
Yönetilmeyen Hiçbir Sistem Güvende Değildir! - Osman Demircan #SiberGuvenlikK...
 
Uygulama guvenligi gunu - malicious web sites
Uygulama guvenligi gunu - malicious web sitesUygulama guvenligi gunu - malicious web sites
Uygulama guvenligi gunu - malicious web sites
 
Uygulama Güvenliği Günü 2012 - Siber Güvenlik Derneği
Uygulama Güvenliği Günü 2012 - Siber Güvenlik DerneğiUygulama Güvenliği Günü 2012 - Siber Güvenlik Derneği
Uygulama Güvenliği Günü 2012 - Siber Güvenlik Derneği
 
Siber Güvenlikte Ofansif Yaklaşımlar
Siber Güvenlikte Ofansif YaklaşımlarSiber Güvenlikte Ofansif Yaklaşımlar
Siber Güvenlikte Ofansif Yaklaşımlar
 
SGD Internet Bağımlılığı Raporu
SGD Internet Bağımlılığı RaporuSGD Internet Bağımlılığı Raporu
SGD Internet Bağımlılığı Raporu
 
Siber Güvenlik Bülteni-2013
Siber Güvenlik Bülteni-2013Siber Güvenlik Bülteni-2013
Siber Güvenlik Bülteni-2013
 
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
 
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
Siber Güvenlik Çalıştayı Sponsorluk Sunumu - 2014
 
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013
Siber Güvenlik Buluşmaları 7. oturum, 1. kısım-07.12.2013
 
Siber Güvenlik Konferansı'14 Tanıtım Sunumu
Siber Güvenlik Konferansı'14 Tanıtım SunumuSiber Güvenlik Konferansı'14 Tanıtım Sunumu
Siber Güvenlik Konferansı'14 Tanıtım Sunumu
 
Siber Güvenlik Konferansı'14 Sponsorluk Sunumu
Siber Güvenlik Konferansı'14 Sponsorluk SunumuSiber Güvenlik Konferansı'14 Sponsorluk Sunumu
Siber Güvenlik Konferansı'14 Sponsorluk Sunumu
 

Mobil Uygulamalarda Avcılık - Nebi Şenol Yılmaz #SiberGuvenlikKonferansi 14.05.14

  • 1. Mobil Uygulamalarda Güvenlik Denetimi Nebi Şenol YILMAZ Danışman / Yönetici Ortak senol.yilmaz@secrove.com Secrove Information Security Consulting
  • 2. Secrove Information Security Consulting 2 Ajanda ● Hakkımızda ● Mobil Dünya ● Güvenlik İhtiyacı ● Uygulama Denetimi ● Örnek Uygulama
  • 3. Secrove Information Security Consulting 3 Hakkımızda ● Nebi Şenol YILMAZ, CISA, C|EH, ISO 27001 LA ● Secrove Information Security Consulting ● Bilgi Güvenliği Danışmanlığı ● Zafiyet Araştırmaları ● Bilgi Güvenliği Eğitimleri ● Siber İstihbarat Çalışmaları
  • 4. Secrove Information Security Consulting 4 Mobil Dünya ●Gözümüz ●Kulağımız ●Dilimiz haline geldi...
  • 5. Secrove Information Security Consulting 5 Mobil Dünya İşimiz artık parmaklarımızın ucunda, ya da ....
  • 6. Secrove Information Security Consulting 6 Mobil Dünya Avucumuzun içinde ....
  • 7. Secrove Information Security Consulting 7 Mobil Dünya :) ve bütün hizmetler önümüze geliyor ....
  • 8. Secrove Information Security Consulting 8 Güvenlik İhtiyacı
  • 9. Secrove Information Security Consulting 9 Güvenlik İhtiyacı
  • 10. Secrove Information Security Consulting 10 Uygulama Denetimi ● Ağ Üzerinde Denetim ● Statik Kod Analizi ● Dinamik Analiz
  • 11. Secrove Information Security Consulting 11 Uygulama Denetimi ● Ağ Üzerinde Denetim Internet
  • 12. Secrove Information Security Consulting 12 Uygulama Denetimi ● Ağ Üzerinde Denetim ● Veriler açık olarak mı iletiliyor? ● Gizli veri sızdırma mevcut mu? ● Veriler manipüle edilebiliryor mu? ● Manipülasyon sunucu tarafında zafiyet oluşturuyor mu?
  • 13. Secrove Information Security Consulting 13 Uygulama Denetimi ● Statik Kod Analizi
  • 14. Secrove Information Security Consulting 14 Uygulama Denetimi ● Statik Kod Analizi ● Otomatik araçlar ile kod analizi ● Uzman insan kaynağı ile kod analizi
  • 15. Secrove Information Security Consulting 15 Uygulama Denetimi ● Dinamik Analiz
  • 16. Secrove Information Security Consulting 16 Uygulama Denetimi ● Dinamik Analiz ● Uygulamanın çalışması sırasında manipülasyon yapmamızı sağlar. ● Client-side kontrollerin hepsi by-pass edilebilir. ● Gizlenmiş fonksiyonların çağrılması sağlanabilir. ● Gizlenmiş veriler dump olarak alınabilir.
  • 17. Secrove Information Security Consulting 17 Uygulama Denetimi ● Dinamik Analiz ● Debugger (gdb) ● Otool ● Class-dump-z ● Snoop-it ● Cycript
  • 18. Secrove Information Security Consulting 18 Uygulama Denetimi ● Dinamik Analiz ● Debugger (gdb)
  • 19. Secrove Information Security Consulting 19 Uygulama Denetimi ● Dinamik Analiz ● otool
  • 20. Secrove Information Security Consulting 20 Uygulama Denetimi ● Dinamik Analiz ● class-dump-z
  • 21. Secrove Information Security Consulting 21 Uygulama Denetimi ● Dinamik Analiz ● Snoop-it
  • 22. Secrove Information Security Consulting 22 Uygulama Denetimi ● Dinamik Analiz ● cycript
  • 23. Secrove Information Security Consulting 23 Uygulama Denetimi ● Örnek Uygulama ● Cycript ● Görsel özelliklerde işlem yapabiliriz ● SpringBoard üzerinde işlemler gerçekleştirmek ● Fonksiyon özelliklerinde işlem yapabiliriz ● PhotoVault uygulamasında authentication by-pass gerçekleştirmek
  • 24. Secrove Information Security Consulting 24 Örnek Uygulama - cycript ● İlk olarak jailbreak yapılmış telefonumuza: ● Cycript ● Class-dump-z kurmalıyız.
  • 25. Secrove Information Security Consulting 25 Örnek Uygulama - cycript ● SSH ile telefona erişip, üzerinde işlem yapacağımız uygulamayı seçeceğiz:
  • 26. Secrove Information Security Consulting 26 Örnek Uygulama - cycript ● Cycript ile, işlem yapacağımız process'e attach olacağız: ● Ağaç yapısında uygulama window görsellerine erişeceğiz:
  • 27. Secrove Information Security Consulting 27 Örnek Uygulama - cycript ● Hedefimizde uygulamaların “icon”ları var. ● Görsel “subview” özelliklerini kullanarak “SBIconView”a erişeceğiz.
  • 28. Secrove Information Security Consulting 28 Örnek Uygulama - cycript ● Uygulama “icon”larına eriştiğimize göre, işlem yapabiliriz. ● Bir uygulama'yi görünmez yapalım. ● İlgili object'in “setHidden” metodunu çağırıyoruz. ● Metod çağırırken komutları [.....] içerisinde kullanıyoruz.
  • 29. Secrove Information Security Consulting 29 Örnek Uygulama - cycript ● Object'ler hiyerarşik olduğu için bir üst subview üzerinde işlem yapalım. ● Eriştiğimiz “subview” icon container olduğu için container içideki bütün “icon”lar kayboldu.
  • 30. Secrove Information Security Consulting 30 Örnek Uygulama - cycript ● Object'lerde daha üste çıktığımızda... ● Artık masaüstünü tamamen gizlemiş olduk.
  • 31. Secrove Information Security Consulting 31 Örnek Uygulama - cycript ● ... ve herşeyi geri getirelim... ● setHidden: NO
  • 32. Secrove Information Security Consulting 32 Örnek Uygulama - cycript ● Şimdi de PhotoVault uygulamasına bir bakalım. ● Uygulama giriş için parola istiyor... ● Bu ekranı by-pass edebilir miyiz?
  • 33. Secrove Information Security Consulting 33 Örnek Uygulama - cycript ● Cycript ile uygulamaya attach olup, bu ekranı geçmeye ilişkin fonksiyon çağrısı yapabilirsek, by-pass etmiş olacağız. ● Bunun için “Application Delegate” içerisindeki fonksiyonlara göz atmamız gerekiyor. ● Bu noktada “class-dump-z” kullanacağız.
  • 34. Secrove Information Security Consulting 34 Örnek Uygulama - cycript ● Uygulamaya attach olup, adım adım ilerleyelim... ● Process ID: 4791 ● Application Delegate: “AppDelegate” ● Class-dump-z ile uygulamanın class-dump'ını alıp işimize yarayacak fonksiyonlara bakabiliriz.
  • 35. Secrove Information Security Consulting 35 Örnek Uygulama - cycript ● Uygulamayı dump edip, “AppDelegate” içindeki fonksiyonları inceleyelim.
  • 36. Secrove Information Security Consulting 36 Örnek Uygulama - cycript ● Bu fonksiyonlar içinde “pinLockControllerDidFinishUnlocking” isminde bir fonksiyon mevcut. Denemeye değer...
  • 37. Secrove Information Security Consulting 37 Örnek Uygulama - cycript ● Cycript içinden “pinLockControllerDidFinishUnlocking” fonksiyonunu call ediyoruz.
  • 38. Secrove Information Security Consulting 38 Örnek Uygulama - cycript ● Fonksiyon çağrımız işe yarıyor ve authentication ekranını by-pass etmiş oluyoruz ● Peki başka neler yapabiliriz? ● PhotoVault Uygulamasının “iconBadge”ini değiştirelim.
  • 39. Secrove Information Security Consulting 39 Örnek Uygulama - cycript ● Uygulamanın belleğinde işlem yapmamıza iman sağlayan “cycript” ile ● Uygulama arayüzüne ilişkin manipülasyonlar ● Uygulama içindeki değişkenlere ilişkin manipülasyonlar ● Uygulam içindeki fonksiyon çağrılarına ilişkin manipülasyonlar gerçekleştirilerek, uygulama içerisindeki kontroller by-pass edilebilmektedir.
  • 40. Secrove Information Security Consulting 40 Teşekkürler !