Warsztat: Bezpieczeństwo urządzeń mobilnych

Warsztat:
Bezpieczeństwo
urządzeń mobilnych
N
owoczesne urządzenia mobilne, w szczególności
tablety i smartfony, umożliwiają ich posiadaczom dostęp
do zasobów systemów informatycznych z niemal
dowolnego miejsca na Ziemi, w którym tylko jest zasięg
telefonii komórkowej lub innych sieci bezprzewodowych.
Od dostępu do poczty elektronicznej po korzystanie
z bankowości mobilnej – zastosowania urządzeń wydają
się niemal nieograniczone, a każdy rok przynosi na rynek
tysiące nowych aplikacji mobilnych. Jednak nowe szanse
to również nowe zagrożenia. Nie tylko znaczna część
ataków
znanych
w
"tradycyjnych"
systemach
informatycznych ma zastosowanie w odniesieniu
do aplikacji mobilnych, ale nowe technologie to również
nowe, często nieznane dotychczas metody ataków
i socjotechnik.
Cel i zakres szkolenia
Głównym celem szkolenia jest przekazanie uczestnikom
wiedzy z zakresu bezpieczeństwa urządzeń mobilnych
w oparciu o wiodące mobilne systemy operacyjne, jakimi
są: Apple iOS oraz Android. W trakcie szkolenia, które w
przeważającej części ma charakter warsztatu, uczestnicy
poznają środowiska oraz wybrane narzędzia służące do
testowania bezpieczeństwa systemów Apple iOS i Android
oraz aplikacji dla nich przeznaczanych. W trakcie licznych
ćwiczeń praktycznych uczestnicy wykorzystają metody
przełamywania zabezpieczeń systemów mobilnych,
zapoznają się z metodami analizy aplikacji pod kątem
bezpieczeństwa, oraz praktykami wykorzystywanymi
podczas procesu analizy śledczej mającymi zastosowanie
dla systemu Apple iOS oraz Android. Podczas szkolenia
przedyskutowane zostaną możliwe metody obrony przed
prezentowanymi atakami.
Zakres szkolenia skupia się na bezpieczeństwie systemów
Apple iOS oraz Android, oraz obejmuje następujące
obszary:



Wprowadzenie do systemów mobilnych,
Architektura systemów,
Mechanizmy bezpieczeństwa systemów,




Bezpieczeństwo aplikacji,
Metody analizy aplikacji,
Przykłady ataków i złośliwego oprogramowania,
Podstawy informatyki śledczej dot. urządzeń
mobilnych.
Podczas szkolenia zostaną wykorzystane następujące
narzędzia i pomoce:







Urządzenia fizyczne Apple iPad/iPhone,
Symulator systemu Apple iOS,
Środowisko programistyczne XCode,
Urządzenia fizyczne Android,
Emulatory systemu Android,
Środowisko programistyczne Android SDK, Eclipse
wraz z wtyczką ADT,
Wybrane narzędzia Open Source do testowania
bezpieczeństwa aplikacji mobilnych.
Odbiorcy szkolenia
Szkolenie
przeznaczone
jest
dla
specjalistów
ds. bezpieczeństwa, architektów i projektantów systemów
i aplikacji oraz innych pracowników działów IT
i/lub bezpieczeństwa, odpowiedzialnych za zapewnienie
lub testowanie bezpieczeństwa systemów i aplikacji
mobilnych.
Korzyści dla uczestników
Agenda szkolenia
Umiejętności uzyskane dzięki udziale w proponowanym
szkoleniu to:
 Praktyczna znajomość bezpieczeństwa urządzeń
mobilnych Apple iOS i Android,
 Praktyczna znajomość bezpieczeństwa aplikacji
przeznaczonych na w/w systemy,
 Poznanie metod ataków na w/w systemy mobilne
oraz sposobów ochrony,
 Poznanie podstaw testowania bezpieczeństwa
aplikacji mobilnych,
 Praktyczne wykorzystanie narzędzi służących do
testowania bezpieczeństwa aplikacji mobilnych.
Dzień 1:
W ramach szkolenia uczestnicy otrzymują:














Produkty szkolenia



Cykl wykładów teoretycznych omawiających
poszczególne elementy związane z
bezpieczeństwem urządzeń mobilnych opartych
o systemy Apple iOS oraz Android,
Ćwiczenia praktyczne mające na celu utrwalenie
zdobywanej wiedzy,
Materiały szkoleniowe w postaci drukowanej
i elektronicznej,
Certyfikat potwierdzający ukończenie szkolenia,
Przerwy kawowe,
Obiad.
Zespół instruktorów
Zespół instruktorów realizujących szkolenie składa się
z doświadczonych instruktorów Prevenity.
Kalendarz szkoleń




Dzień 2:










Aktualny kalendarz i ceny szkoleń oraz formularze
rejestracji są dostępne w sekcji „Edukacja” pod adresem:

http://www.prevenity.com
Model bezpieczeństwa iOS,
Bezpieczeństwo urządzenia (PIN/passcode/
profiles),
Bezpieczeństwo danych (Wipe/Data protection/
Encryption keychain),
Bezpieczeństwo sieci,
Bezpieczeństwo aplikacji (Entitlements/Digital
Signatures/Code Signing Enforcement/Sandbox)
Inne mechanizmy wykorzystywane w iOS i przez
firmę Apple:
 Dystrybucja (mandatory verification),
 Ochrona pamięci,
 ASLR,
 Obfuskacja,
Analiza aplikacji Mach-O,
Wstęp do Objective-C,
Reverse engineering aplikacji z AppStore,
Odszyfrowywanie aplikacji,
Analiza statyczna i dynamiczna z użyciem IDA Pro
oraz gdb,
Szyfrowanie danych (Keys/keybags/keychains
protection classes),
Ataki Brute Force,
Analiza systemów plików w iOS (HFS),
Analiza z użyciem SleuthKit.



Wprowadzenie do systemu Android,
Architektura systemu Android,
Dalvik Virtual Machine,
Mechanizm dystrybucji aplikacji (Google Play),
Mechanizmy bezpieczeństwa systemu Android:
 Poziom sprzętu,
 Poziom systemu operacyjnego,
 Poziom warstwy middleware,
Zabezpieczenia przed kradzieżą,
Aktualizacje oprogramowania,
Słabości mechanizmów bezpieczeństwa,
Rooting systemu Android,
Bezpieczeństwo aplikacji Android:
 Struktura pakietów APK,
 Architektura aplikacji,
 Podstawowe komponenty aplikacji,
 Mechanizm intencji,
 Obfuskacja aplikacji,
Przykładowe problemy bezpieczeństwa aplikacji,
Analiza aplikacji Android,
Przykłady ataków i złośliwego oprogramowania.
O firmie Prevenity
Fundamentem naszej firmy jest bogate, praktyczne doświadczenie
założycieli, pracowników oraz współpracowników firmy Prevenity,
zdobyte podczas pracy dla Klientów, działających na rynku polskim
oraz międzynarodowym.
Od wielu lat testujemy bezpieczeństwo sieci, systemów i aplikacji,
opracowujemy i prowadzimy różnorodne szkolenia z zakresu
bezpieczeństwa informacji, a także dostarczamy usługi i rozwiązania,
w których aspekty bezpieczeństwa pełnią bardzo istotną rolę.
Kompetencje naszego zespołu potwierdzone są ważnymi
i uznawanymi na całym świecie certyfikatami. Znaczna część członków
naszego Zespołu przynależy również do międzynarodowych
organizacji skupiających się na bezpieczeństwie, między innymi: ISSA,
ISACA oraz OWASP.
Nasi specjaliści dostarczali lub kierowali usługami wykonywanymi
między innymi dla czołowych polskich banków, tradycyjnych oraz
internetowych, spółek medialnych, firm z sektora ubezpieczeniowego,
instytucji rządowych, polskich i międzynarodowych operatorów
telekomunikacyjnych i wielu innych przedsiębiorstw i organizacji.
W naszych szkoleniach udział brali uczestnicy z wielu polskich
przedsiębiorstw i organizacji, między innymi z Ministerstwa Obrony
Narodowej, Ministerstwa Finansów, Narodowego Banku Polskiego,
Polskiej Wytwórni Papierów Wartościowych oraz Policji.
© 2012 Prevenity Sp z o.o. Wszelkie prawa zastrzeżone.
Prevenity Sp. z o.o.
ul. Erazma Ciołka 11A
01-445 Warszawa
Tel. +48 22 533 01 00
Fax: +48 22 533 01 01
www.prevenity.com