Paphos Group Risk & Security Mobile App Security Testing

Vergelijkbare documenten
Systeemeisen PB-Software

Tablets 24 Maart 2012

Klassieke Desktop. Bureaumodel

Mobiel werken Mobiel Werken Sven Moreels 1

Cerussa Mobile / MyCerussa Pre-requirements

Cerussa Mobile / MyCerussa Pre-requirements

Certified Ethical Hacker v9 (CEH v9)

Remcoh Mobile Device beheer. Remcoh legt uit

BLUETOOTH TECHNOLOGIE: Lijst van geteste telefoons en aanbevolen door RENAULT

Introductie Workshop

TECHNOLOGIE BLUETOOTH

Certified Ethical Hacker v9 (CEH v9)

Certified Ethical Hacker v9 (CEH v9)

Technische data. Versie dec

NOKIA LUMIA 800 PIMP YOUR PHONE! GRATIS. 1 e 9 maanden 39,95 19,98 /mnd. i.c.m. 2-jarig Smart Plus 300 (300 min /sms + onbeperkt internet * )

BLUETOOTH TECHNOLOGIE: Lijst van geteste telefoons en aanbevolen door RENAULT. R-Plug&Radio R0-10 V2.0 (1 DIN + 2 DIN) Automatische overdracht

Handleiding Installatie Mobiele Token

HANDLEIDING EXTERNE TOEGANG CURAMARE

Introductie Workshop. Tom Hufkens Shopmanager Turnhout & Geel tom.hufkens@webstore.be

CONTAINERIZATION OF APPLICATIONS WITH MICROSOFT AZURE PAAS SERVICES

Apple vs Android. Vincent van der Does Mark Lanting

Specialist in de testdiscipline

Systeemeisen PB-Software

ISSX, Experts in IT Security. Wat is een penetratietest?

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Apps ontwikkelen voor de Rijksoverheid

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Sr. Security Specialist bij SecureLabs

Prowise Pro Connect 2.0 Technische documentatie

BLUETOOTH TECHNOLOGIE: Lijst van geteste telefoons en aanbevolen door RENAULT. Automatische overdracht

Ontwikkelen voor Android. Het waarom, het hoe en het wat - Sander Tuit

Gebruikershandleiding MobiDM

Kennismaken met Androidsmartphone

Mobile Devices, Applications and Data

Omarm BYOD in je bedrijf. MFP: Spin in het bedrijfsweb - Privacynaïviteit is passé! - Verwachte groei aan ICT-bestedingen

Gebruikershandleiding Everyone Print. Mobile Printing. TU Delft Xerox

MC Slotervaart. Handleiding Thuiswerken

Inleiding. Aan de inhoud van dit document kunnen geen rechten worden verleend.

memo Aan : V&V medewerkers Van : Servicedesk Betreft : documenten.twb.nl gebruik Datum :

Aan de slag met de ipad ios 7.X.X

5 Hackaanvallen die uw webwinkel bedreigen. Hans Bouman B2U

Management van mobiele apparaten. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Welkom bij IT-Workz. Etten-Leur, 16 november Altijd en overal werken en leren. Applicatie en Desktop Delivery met Quest vworkspace

Altijd en overal online?

Handleiding. Certificaat installeren

VIDEO RECORDING Afstand beheren

Data Acquisitie in een modern jasje. Wordt het de tablet of toch iets anders?

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

Efficiënt en veilig werken met cliëntgegevens. Zorg & ICT beurs 15 maart 2017

MFC-J4620DW. Specificaties. Kleureninkjetprinter Afdruksnelheid Zwart-wit Tot 35 ppm. Technologie. Afdruksnelheid (ISO/IEC 24734) Zwart-wit

Factsheet Enterprise Mobility

Tevens hebben wij onderzocht of het automatiseren van een dergelijk afluisterproces eenvoudig te produceren is en wat er vervolgens mogelijk is.

Bring Your Own Device. Jef Vleugels, Gerard van Dijk 5 juni 2012

i3sync PLUG & PLAY DRAADLOOS PRESENTATIE MIDDEL

BootCamp. Template Powerpoint Datum

Applicaties ontwerpen voor ios en Android

SECURITY UITDAGINGEN 2015

ios vs. Android Studentennummer : Datum :

Het Sebyde aanbod. Secure By Design

Inhoud Introductie Development Environment Programmeren voor Android Demo. Android Development. Sven van Haastregt

Mobile Device Manager Handleiding voor ios

Bart ter Steege The Mobile Mindmap

HMI s ontsluiten machines naar het WEB

Cegeka Mobile Event. to itedit Master subtitle style 5/3/12 30/11/2011

Auteur: Chris Twiest Versie: 2.0 HANDLEIDING

Responsive web applicaties op Oracle

De Mobile Banking-oplossing van ING Versie 3.0

Factsheet APPS Mirabeau

Cisco Cloud. Collaboration. Ronald Zondervan David Betlem September, Presentation_ID 2010 Cisco Systems, Inc. All rights reserved.

Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper

Handleiding. Handleiding

Let op! Gezien My Route App geen RT s kan registreren kunnen we de My Route App gebruikers niet opnemen in het RT-klassement.

RESILIENCE. Hoe geeft mijn organisatie concreet invulling aan weerbaarheid? SECURITY CONGRES ir. Gerard Klop

Indoor Navigation System

iprova Suite Systeemeisen iprova 5 Hosting

Voor nadere toelichting kan contact opgenomen worden met SALTO.

14/11/2017. Windows 10 & TCP/IP for timers. Dennis Dirks

ICT Emmaüs. Technische richtlijnen Emmaüs implementatie

Bring Your Own Device

MVI Congres: Samen werkt! App downloaden en instructie

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

IAAS - QUICK START GUIDE

Transcriptie:

Paphos Group Risk & Security Mobile App Security Testing Gert Huisman gert.huisman@paphosgroup.com

Introductie 10 jaar werkzaam geweest voor Achmea als Software Engineer 3 jaar als Security Tester Security Assessments op Netwerken en Web Applicaties Juni 2012 begonnen bij de Paphos Group als Security Consultant

Achtergrond Infrastructuur meestal wel op orde (firewalls, IDS/IPS e.d.) Focus werd door hackers verlegd naar Netwerk en Webapplicaties Mobiele applicaties worden steeds populairder Security testing van apps staat nog in de kinderschoenen

Referentiekader Nog geen standaard policies voor mobile apps PCI Mobile Payment Security Guidelines Development Security Guidelines (ios, Android) Frameworks (ASEF, Mercury) Paphos Security Best Practices

Terminologie Statische Code Analyse (Vulnerabilities) Source code Vulnerability Scan (Vulnerabilities) Netwerkomgeving (i.e. web- en applicatie servers, databases) Penetratie Test (Exploits) Validatie van exploits CVSS Score Op basis van complexiteit van vulnerability CVE (Common Vulnerabilities & Exposures) http://cve.mitre.org

Risico differentiatie Potentieel Risico Mogelijk te misbruiken Vulnerability scan resultaten 75 vulnerabilities? Reëel Risico Bewezen te misbruiken!!! Penetratie test 8 exploits

Security Testing Methodiek Systems: Information Systems Security Assessment Framework (ISSAF) (Web)Applications: OWASP Application Security Verification Standard (ASVS) Penetration tests: Combinatie van ISSAF en ASVS Mobile Apps: MASAP Verificatie OWASP Top 10 OWASP Mobile Top 10 Risks (Nieuw!) Proces Service Validation & Testing (SVT)

Testmethodiek Mobile Apps Frameworks Android Security Evaluation Framework (ASEF) Mercury Best Practices Best Practices Secure Development Guides Paphos Best Practices Test Environment MASAP Frameworks Policies PCI Standards OWASP Mobile Top 10 Risks Processes

Voorbeelden van vulnerabilities Geen gebruik maken van SSL (HTTPS) Connectie maken met kwaadaardige sites (Malware) Lokaal opslaan van gevoelige data (NAW, bankgegevens) Geen toestemming aan gebruiker vragen (GPS, camera, SMS)

OWASP Mobile Top 10 Risks

Op welke devices testen? Smartphones o.a. Samsung Galaxy, Sony Xperia, LG (Android) Apple iphone (ios) o.a. Nokia Lumia 920, HTC 8X, Samsung ATIV S (Windows 8) Tablets Apple (ipad) o.a. Samsung Galaxy Tab, Asus Transformer (Android) o.a. Acer Iconia, Asus Taichi, Dell XPS (Windows 8)

Op welke OS versie testen? Android Gingerbread (3.6) Ice Cream Sandwich (ICS) (4.0) Jelly Bean (4.1 and higher) ios 5.1 6.0.1 6.1 Windows 8 Basic Pro RT en Enterprise

Hoe en wat testen? Source code (eventueel decompileren) Code review Configuratiebestanden (soms binair) Systeemrechten van de app Netwerkverkeer analyseren Databases (lokaal of op server) Achterliggende web- of applicatieserver (standaard security scans)

Testomgeving Mac OS X (virtual) machine (Xcode) Backtrack 5 (virtual) machine (Android SDK) Test device met geïnstalleerde app Root of admin rechten op het device (jailbreak of rooten) Noodzakelijk om álle bestanden te kunnen zien Zonder restricties applicaties installeren

Voorbeeld van analyse netwerkverkeer Test device (Android) met app geïnstalleerd Testomgeving (Backtrack) Proxy (BurpSuite) Wireshark Probleem: Android apps en proxy Oplossing: Fake accesspoint

Fake Accesspoint (Virtuele) Linux machine (Backtrack) Aircrack-ng USB WiFi Netwerkkaart DHCP Server Verbinding met internet WireShark Burpsuite Proxy

Fake Accesspoint (vervolg) Internet Accesspoint IP-address Gateway DNS settings IP-address Gateway DNS settings Fake Accesspoint Mobile Device

Resultaat

Uitdagingen Automatiseren van tests Policies Reguleren van aanbod uit Markets/Stores Near Field Communication (NFC) Nieuwe mobile OS s

Vragen

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback