OWASP Top10 Mobile Risks

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "OWASP Top10 Mobile Risks"

Alfonsina Mattei
6 anni fa
Visualizzazioni

1 AIEA - Associazione Italiana Information Systems Auditors Torino, 26/02/15 OWASP Top10 Mobile Risks Ing. Davide Casale Shorr Kan IT Engineering

migliorare il livello di sicurezza delle applicazioni informatiche.

2 Introduzione Cos e OWASP? OWASP: Open Web Application Security Project è un organizzazione no profit con l obiettivo di migliorare il livello di sicurezza delle applicazioni informatiche. Negli ultimi anni è diventata lo standard de facto per le metodologie di analisi di sicurezza applicativa (penetration test e vulnerability assessment applicativo) e per le best practice di programmazione sicura.

OWASP Mobile Security Project OWASP Top10 Mobile Risks All interno di OWASP esiste un progetto specifico con un team dedicato per la sicurezza applicativa nel mondo Mobile Il progetto è attivo da

3 OWASP Mobile Security Project OWASP Top10 Mobile Risks All interno di OWASP esiste un progetto specifico con un team dedicato per la sicurezza applicativa nel mondo Mobile Il progetto è attivo da fine 2010 Url di riferimento: Storia E nato come ramo dell OWASP generale perché nell ambito Mobile esistono dei Rischi specifici differenti da quelli presenti nelle applicazioni in altri ambiti L obiettivo è quello di inserire l attenzione della sicurezza anche nel ciclo di vita del software dei mobile devices Threat Model Risks Controls Training Dev. Guide Secure Libraries Tools Methodologies Cheat Sheets

Mobile Threat Model Le piattaforme variano rapidamente nel tempo OWASP Top10 Mobile Risks Mobile Threat Model Le APP sono differenti dalle applicazioni web tradizionali (con tipi e

4 Mobile Threat Model Le piattaforme variano rapidamente nel tempo OWASP Top10 Mobile Risks Mobile Threat Model Le APP sono differenti dalle applicazioni web tradizionali (con tipi e modi d uso molto differenti tra di loro) E necessario prendere in considerazione molto di più che la sola APP : Remote Web Services Platform Integration Device (in)security considerations

5 Mobile Threat Model

6 Mobile Threat Model

7 TOP 10 Risks OWASP Top10 Mobile Risks Si analizzeranno i 10 principali rischi 2014 delle piattaforme Mobile secondo OWASP e la loro evoluzione. Si proporranno le aree di rischio più che le singole vulnerabilità specifiche con un approccio agnostico rispetto alla piattaforma Mobile Il tutto pesato secondo la Risk Rating Methodology di OWASP.

10 M1: Weak Server Side Controls Si applica ai servizi di backend Non è specifico del mondo mobile, ma essenziale OWASP Top10 Mobile Risks Non ci si può fidare dei client (verifiche lato client e non lato server) Gli attuali controlli usati per le applicazioni non mobile potrebbero essere da rivedere Impact Perdita di confidenzialità sui dati Perdita di integrità sui dati

11 M1: Weak Server Side Controls OWASP Top10 Mobile Risks Valgono tutte le problematiche evidenziate dall OWASP Top 10 normale e per il cloud

12 M1: Weak Server Side Controls Prevention Tips Capire nel dettaglio i rischi aggiuntivi introdotti dalle mobile apps nelle architetture esistenti Approfittare dell ampio bagaglio di conoscenze raccolto nell ambito della sicurezza applicativa server side (owasp top 10, cloud top 10, web services top 10, etc.) Best practices di sviluppo, Development guides, etc.

13 M2: Insecure Data Storage Dati sensibili lasciati non protetti Si applica a dati storati in locale e sincronizzati in cloud Di solito si ha la problematica per : Dati non cifrati Caching di dati per tempi lunghi inavvertitamente Permessi deboli o globali Non rispetto di best practice Impact Perdita di confidenzialità sui dati Furto di credenziali di accesso Violazioni della Privacy Non Compliance

14 M2: Insecure Data Storage

15 M2: Insecure Data Storage Prevention Tips Storare solo quello che è strettamente necessario Non usare aree pubbliche di storage (come l SD card del Mobile Device) Utilizzare security container e le API di file encryption disponibili sulla piattaforma utilizzata Non dare permessi world readable o world writeable ai files

16 M3: Insufficient Transport Layer Protection Dati trasmessi via rete non cifrati Dati trasmessi via rete cifrati in modo debole Dati trasmessi con cifratura forte, ma ignorando i security warnings Ignorare gli errori di validazione dei certificati In caso di failure fare failback con testo in chiaro Impact Attacchi man in the middle Modifica dei dati in transito (tampering) Perdita di confidenzialità sui dati

17 M3: Insufficient Transport Layer Protection Prevention Tips Assicurarsi che tutti i dati sensibili che lasciano il device siano cifrati opportunamente Questo include dati inviati verso il network del carrier, verso il WiFi e anche verso l NFC Quando sono generate delle security exception o warning c e un motivo: NON ignorarle!

18 M4: Unintended Data Leakage Platform cache storage Clipboard data Debug logs Screenshots, etc. Impact Perdita di confidenzialità sui dati

19 M4: Unintended Data Leakage Prevention Tips Assicurarsi di cancellare alla chiusura dell APP le cache della piattaforma relative alla propria APP Cancellare la clipboard all uscita dall APP Non scrivere dati sensibili nei file di debug log (o nei file di log in generale)

20 M5: Poor Authorization and Authentication Problema in parte nel Mobile e in parte nell Architettura OWASP Top10 Mobile Risks Alcune APPs autorizzano e autenticano in base a dati immutabili potenzialmente compromettibili (IMEI, IMSI, UUID) Identificativi hardware rimangono anche dopo la cancellazione dei dati o factory reset del dispositivo Aggiungere informazioni contestuali può aiutare, ma va fatto nel modo opportuno Impact Privilege escalation Accessi non autorizzati

21 M5: Poor Authorization and Authentication

22 M5: Poor Authorization and Authentication Prevention Tips Informazioni contestuali possono aiutare, ma solo se parte di una implementazione multi fattore Autenticazioni fuori banda non aiutano se sono tutte sullo stesso device mobile Mai usare il solo device ID o subscriber ID come autenticazione

23 M6: Broken Cryptography Due categorie principali: Implementazioni erronee usando strong crypto libs Implementazioni custom di cifratura (solitamente deboli) Encoding!= Encryption Obfuscation!= Encryption Serialization!= Encryption Impact Privilege escalation Circumvent business logic Perdita di confidenzialità sui dati

24 M6: Broken Cryptography Prevention Tips Storare la chiave con i dati cifrati annulla l utilità di cifrare Usare crypto libs standard e molto utilizzate e non scriverne di proprie (a meno di non essere un crittografo esperto) Trai vantaggio da quello che la tua piattaforma ti offre!

25 M7: Client Side Injection Apps che usano le librerie del browser Pure web apps Hybrid web/native apps OWASP Top10 Mobile Risks Attacchi classici del mondo web client: XSS con javascript/html Injection e SQL Injection su database locali Attacchi propri del mobile: abusing phone dialer + sms e abusing inapp payments Impact Privilege escalation Compromissione del mobile device Frodi telefoniche

26 M7: Client Side Injection

27 M7: Client Side Injection Prevention Tips Effettuare sanitize/escape dei dati ricevuti prima di utilizzarli Utilizzare prepared statements per le chiamate ai database; concatenare stringhe aiuta le SQL Injection Controllare le chiamate fatte attraverso api browser con opportuni filtri

28 M8: Security Decisions Via Untrusted Inputs Possono essere utilizzati per bypassare permessi o security models Sono problematiche simili ma differenti per piattaforma IOS- Abusing URL schemes Android- Abusing Intents Vari vettori di attacco Malicious apps Client side injection Impact Privilege escalation Furto di dati Consumo di risorse a pagamento (es: telefonate/sms)

29 M8: Security Decisions Via Untrusted Inputs OWASP Top10 Mobile Risks Skype ios URL Scheme Handling Issue

30 M8: Security Decisions Via Untrusted Inputs Prevention Tips Verificare i permessi delle chiamate in fase di input OWASP Top10 Mobile Risks Chiedere all utente con un messaggio a video ulteriore autorizzazione a procedere

31 M9: Improper Session Handling OWASP Top10 Mobile Risks Mobile APP session sono generalmente più lunghe di quelle web Il perché è dato dalla convenienza ed usabilità Le APPs mantengono le sessioni via : HTTP cookies Oauth tokens SSO authentication services E una cattiva idea usare un identificatore del device come session token Impact Privilege escalation Accessi non autorizzati Circumvent licensing e pagamenti

32 M9: Improper Session Handling Prevention Tips Non preoccuparsi di far riautenticare l utente più volte se necessario per la sicurezza Assicurarsi che i token possano essere revocati velocemente nel caso di perdita/furto del device Utilizzare token di provata randomicità (high entropy tokens)

33 M10: Lack of Binary Protections Code decrypt of ios Apps Disassembly of Android APK Jailbreak detection / Root-Detection Controls Debug Detection Controls Impact Perdita di confidenzialità sui dati Maggiore facilità per il reverse-engineer /hacker di avere informazioni sul funzionamento dell APP Privilege escalation

34 M10: Lack of Binary Protections Prevention Tips Jailbreak detection / Root-Detection Controls Software di offuscamento del binary code distribuito Non fidarsi della «security by obscurity» (cioè, ad esempio, inserire PSK nel codice dell APP pensando che l attaccante non riesca a trovarle)

35 Question Time? Ing. Davide Casale Shorr Kan IT Engineering

Documenti analoghi

Iniziativa : "Sessione di Studio" a Torino

Iniziativa : Sessione di Studio a Torino Iniziativa : "Sessione di Studio" a Torino Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,