Warsztat: Bezpieczeństwo urządzeń mobilnych
Transkrypt
Warsztat: Bezpieczeństwo urządzeń mobilnych
Warsztat: Bezpieczeństwo urządzeń mobilnych N owoczesne urządzenia mobilne, w szczególności tablety i smartfony, umożliwiają ich posiadaczom dostęp do zasobów systemów informatycznych z niemal dowolnego miejsca na Ziemi, w którym tylko jest zasięg telefonii komórkowej lub innych sieci bezprzewodowych. Od dostępu do poczty elektronicznej po korzystanie z bankowości mobilnej – zastosowania urządzeń wydają się niemal nieograniczone, a każdy rok przynosi na rynek tysiące nowych aplikacji mobilnych. Jednak nowe szanse to również nowe zagrożenia. Nie tylko znaczna część ataków znanych w "tradycyjnych" systemach informatycznych ma zastosowanie w odniesieniu do aplikacji mobilnych, ale nowe technologie to również nowe, często nieznane dotychczas metody ataków i socjotechnik. Cel i zakres szkolenia Głównym celem szkolenia jest przekazanie uczestnikom wiedzy z zakresu bezpieczeństwa urządzeń mobilnych w oparciu o wiodące mobilne systemy operacyjne, jakimi są: Apple iOS oraz Android. W trakcie szkolenia, które w przeważającej części ma charakter warsztatu, uczestnicy poznają środowiska oraz wybrane narzędzia służące do testowania bezpieczeństwa systemów Apple iOS i Android oraz aplikacji dla nich przeznaczanych. W trakcie licznych ćwiczeń praktycznych uczestnicy wykorzystają metody przełamywania zabezpieczeń systemów mobilnych, zapoznają się z metodami analizy aplikacji pod kątem bezpieczeństwa, oraz praktykami wykorzystywanymi podczas procesu analizy śledczej mającymi zastosowanie dla systemu Apple iOS oraz Android. Podczas szkolenia przedyskutowane zostaną możliwe metody obrony przed prezentowanymi atakami. Zakres szkolenia skupia się na bezpieczeństwie systemów Apple iOS oraz Android, oraz obejmuje następujące obszary: Wprowadzenie do systemów mobilnych, Architektura systemów, Mechanizmy bezpieczeństwa systemów, Bezpieczeństwo aplikacji, Metody analizy aplikacji, Przykłady ataków i złośliwego oprogramowania, Podstawy informatyki śledczej dot. urządzeń mobilnych. Podczas szkolenia zostaną wykorzystane następujące narzędzia i pomoce: Urządzenia fizyczne Apple iPad/iPhone, Symulator systemu Apple iOS, Środowisko programistyczne XCode, Urządzenia fizyczne Android, Emulatory systemu Android, Środowisko programistyczne Android SDK, Eclipse wraz z wtyczką ADT, Wybrane narzędzia Open Source do testowania bezpieczeństwa aplikacji mobilnych. Odbiorcy szkolenia Szkolenie przeznaczone jest dla specjalistów ds. bezpieczeństwa, architektów i projektantów systemów i aplikacji oraz innych pracowników działów IT i/lub bezpieczeństwa, odpowiedzialnych za zapewnienie lub testowanie bezpieczeństwa systemów i aplikacji mobilnych. Korzyści dla uczestników Agenda szkolenia Umiejętności uzyskane dzięki udziale w proponowanym szkoleniu to: Praktyczna znajomość bezpieczeństwa urządzeń mobilnych Apple iOS i Android, Praktyczna znajomość bezpieczeństwa aplikacji przeznaczonych na w/w systemy, Poznanie metod ataków na w/w systemy mobilne oraz sposobów ochrony, Poznanie podstaw testowania bezpieczeństwa aplikacji mobilnych, Praktyczne wykorzystanie narzędzi służących do testowania bezpieczeństwa aplikacji mobilnych. Dzień 1: W ramach szkolenia uczestnicy otrzymują: Produkty szkolenia Cykl wykładów teoretycznych omawiających poszczególne elementy związane z bezpieczeństwem urządzeń mobilnych opartych o systemy Apple iOS oraz Android, Ćwiczenia praktyczne mające na celu utrwalenie zdobywanej wiedzy, Materiały szkoleniowe w postaci drukowanej i elektronicznej, Certyfikat potwierdzający ukończenie szkolenia, Przerwy kawowe, Obiad. Zespół instruktorów Zespół instruktorów realizujących szkolenie składa się z doświadczonych instruktorów Prevenity. Kalendarz szkoleń Dzień 2: Aktualny kalendarz i ceny szkoleń oraz formularze rejestracji są dostępne w sekcji „Edukacja” pod adresem: http://www.prevenity.com Model bezpieczeństwa iOS, Bezpieczeństwo urządzenia (PIN/passcode/ profiles), Bezpieczeństwo danych (Wipe/Data protection/ Encryption keychain), Bezpieczeństwo sieci, Bezpieczeństwo aplikacji (Entitlements/Digital Signatures/Code Signing Enforcement/Sandbox) Inne mechanizmy wykorzystywane w iOS i przez firmę Apple: Dystrybucja (mandatory verification), Ochrona pamięci, ASLR, Obfuskacja, Analiza aplikacji Mach-O, Wstęp do Objective-C, Reverse engineering aplikacji z AppStore, Odszyfrowywanie aplikacji, Analiza statyczna i dynamiczna z użyciem IDA Pro oraz gdb, Szyfrowanie danych (Keys/keybags/keychains protection classes), Ataki Brute Force, Analiza systemów plików w iOS (HFS), Analiza z użyciem SleuthKit. Wprowadzenie do systemu Android, Architektura systemu Android, Dalvik Virtual Machine, Mechanizm dystrybucji aplikacji (Google Play), Mechanizmy bezpieczeństwa systemu Android: Poziom sprzętu, Poziom systemu operacyjnego, Poziom warstwy middleware, Zabezpieczenia przed kradzieżą, Aktualizacje oprogramowania, Słabości mechanizmów bezpieczeństwa, Rooting systemu Android, Bezpieczeństwo aplikacji Android: Struktura pakietów APK, Architektura aplikacji, Podstawowe komponenty aplikacji, Mechanizm intencji, Obfuskacja aplikacji, Przykładowe problemy bezpieczeństwa aplikacji, Analiza aplikacji Android, Przykłady ataków i złośliwego oprogramowania. O firmie Prevenity Fundamentem naszej firmy jest bogate, praktyczne doświadczenie założycieli, pracowników oraz współpracowników firmy Prevenity, zdobyte podczas pracy dla Klientów, działających na rynku polskim oraz międzynarodowym. Od wielu lat testujemy bezpieczeństwo sieci, systemów i aplikacji, opracowujemy i prowadzimy różnorodne szkolenia z zakresu bezpieczeństwa informacji, a także dostarczamy usługi i rozwiązania, w których aspekty bezpieczeństwa pełnią bardzo istotną rolę. Kompetencje naszego zespołu potwierdzone są ważnymi i uznawanymi na całym świecie certyfikatami. Znaczna część członków naszego Zespołu przynależy również do międzynarodowych organizacji skupiających się na bezpieczeństwie, między innymi: ISSA, ISACA oraz OWASP. Nasi specjaliści dostarczali lub kierowali usługami wykonywanymi między innymi dla czołowych polskich banków, tradycyjnych oraz internetowych, spółek medialnych, firm z sektora ubezpieczeniowego, instytucji rządowych, polskich i międzynarodowych operatorów telekomunikacyjnych i wielu innych przedsiębiorstw i organizacji. W naszych szkoleniach udział brali uczestnicy z wielu polskich przedsiębiorstw i organizacji, między innymi z Ministerstwa Obrony Narodowej, Ministerstwa Finansów, Narodowego Banku Polskiego, Polskiej Wytwórni Papierów Wartościowych oraz Policji. © 2012 Prevenity Sp z o.o. Wszelkie prawa zastrzeżone. Prevenity Sp. z o.o. ul. Erazma Ciołka 11A 01-445 Warszawa Tel. +48 22 533 01 00 Fax: +48 22 533 01 01 www.prevenity.com