Bezpieczeństwo aplikacji mobilnych – atak i obrona

Bezpieczeństwo aplikacji mobilnych - atak i obrona

Warsaw-center-free-license-CC0
Warszawa, 26 – 27 stycznia 2017

Czas trwania: 2 dni (15h), Prowadzący: Adam z z3s, Mateusz Kocielski
Liczba uczestników: maksymalnie 12 osób, cena: 2600 PLN netto

Masz pytania? Wyślij je przez formularz, pocztą na adres szkoleniaz3s@logicaltrust.net lub zadzwoń na nr +48 601 86 14 85.

Szkolenie możemy przeprowadzić także w wersji zamkniętej tylko dla Twojej firmy, także w języku angielskim.

Jakie będą korzyści dla Ciebie

  • uzyskasz praktyczną wiedzę od pentesterów zajmujących się na co dzień przełamywaniem zabezpieczeń
  • poznasz popularne metody ataków i nauczysz się je samodzielnie przeprowadzać we własnym środowisku
  • zrozumiesz jak działają narzędzia automatyzujące, ułatwiające proces przełamywania zabezpieczeń, pozyskiwania danych, odgadywania/łamania haseł
  • nauczysz się jak wykorzystać narzędzia lub pisać własne skrypty ułatwiające przeprowadzenie działań
  • zrozumiesz stopień krytyczności poszczególnych rodzajów podatności, zlokalizujesz ich źródło oraz podejmiesz odpowiednie środki zaradcze
  • nawiążesz cenne kontakty zawodowe

Jakie będą korzyści dla Twojego pracodawcy

  • tańszy rozwój bezpieczniejszych aplikacji poprzez możliwość samodzielnego przeprowadzenia podstawowych testów bezpieczeństwa
  • zwiększenie wartości tworzonych produktów dzięki ich większej odporności na błędy i ataki
  • poprawa jakości i bezpieczeństwa realizowanych zadań programistycznych i administracyjnych
  • zwiększenie prestiżu na rynku w związku z podniesieniem kwalifikacji kadry

Program merytoryczny szkolenia

  • Aplikacje mobilne – nowe zagrożenia
  • OWASP Mobile Project
    • OWASP Mobile Top 10 – 2014
    • OWASP Mobile Top 10 – 2016
    • pozostałe projekty OWASP
  • Android
    • wprowadzenie do platformy Android
    • mechanizmy Androida z punktu widzenia bezpieczeństwa
    • rootowanie urządzeń
  • IOS
    • wprowadzenie do platformy iOS
    • mechanizmy iOS z punktu widzenia bezpieczeństwa
    • jailbreak urządzeń
  • Dystrybucja aplikacji
    • budowa aplikacji
    • podpisy aplikacji
    • Google Play
    • AppStore
    • omijanie szyfrowania plików AppStore
  • Przegląd popularnych narzędzi do testowania bezpieczeństwa aplikacji
    • Android
    • iOS
    • instrumentacja aplikacji iOS / Android
    • dekompilacja kodu aplikacji
  • niewłaściwe przechowywanie danych
    • mechanizm Data Protection
    • mechanizm Keychain
    • szyfrowanie danych
  • zabezpieczenie komunikacji sieciowej
    • połączenia TLS/SSL
    • obsługa certyfikatów X.509
    • metody omijania TLS/SSL
  • nieumyślny wyciek danych
    • obsługa wrażliwych danych
    • obsługa cache
    • obsługa logowania
    • trwałe usuwanie danych
    • obsługa pasteboard
    • przejście aplikacji do tła
  • problemy autoryzacji oraz uwierzytelniania
  • niebezpieczne użycie kryptografii
  • ataki injections w aplikacjach (SQL injection, XXE, XSS, …)
    • obsługa XML
    • obsługa komponentów WebView
  • obsługa niezaufanych danych
    • obsługa mechanizmów IPC
  • obsługa sesji
  • środowisko uruchomieniowe aplikacji
    • środowisko uruchomieniowe platformy Android (maszyna Dalvik i ART)
    • środowisko uruchomieniowe języka Objective-C
    • środowisko uruchomieniowe języka Swift
  • brak zabezpieczeń plików binarnych
    • zaciemnianie kodu
    • mechanizmy ASLR, PIE, SSP, ARC
    • reverse engineering aplikacji mobilnych
    • zaciemnianie aplikacji iOS / Android
    • wykrywanie jailbreak / root
    • wykrywanie próby zmiany środowiska uruchomieniowego aplikacji
  • strona serwerowa aplikacji
    • Web OWASP TOP 10
  • inne błędy specyficzne dla platformy iOS
    • problemy w zarządzaniu pamięcią (Use-After-Free, memory corruptions)
    • problemy w obsłudze ciągów formatujących
  • inne błędy specyficzne dla platformy Android
    • mechanizm uprawnień
    • problemy z kodem natywnym
    • tapjacking
  • przykład pełnej analizy aplikacji (Android/iOS)

Każda z kategorii błędów zawiera informacje nt. identyfikacji, metod wykorzystania oraz ochrony. Większość podpunktów kończy się praktycznym ćwiczeniem.

Co od nas dostaniesz

  • minimum 15 godzin hardcorowego szkolenia
  • dobrą książkę związaną z omawianym materiałem
  • pendrive z maszynami testowymi
  • materiały szkoleniowe (wydrukowane slajdy, prezentacje)
  • praktyka i teoria wyświetlane na osobnych projektorach
  • 2 obiady + przerwy kawowe
  • imprezę wieczorną
  • certyfikat uczestnictwa w szkoleniu
  • gadżety z3s
  • swobodę działania – grupa szkoleniowa to maksymalnie 12 osób!
  • sporo dobrej zabawy

Kwestie organizacyjne

  • szkolenie dwudniowe ma nietypowy rozkład godzin: pierwszego dnia zaczynamy o 10 i pracujemy do 19, a drugiego zaczynamy o 8 i pracujemy do 16 – dzięki temu wszyscy uczestnicy, którzy muszą do nas dojechać mogą zrobić to w cywilizowany sposób bez tracenia dodatkowego dnia na podróż
  • szkolenie odbywa się w wygodnej sali niedaleko dworca Warszawa Centralna
  • zadbamy o to by uczestnicy byli jednocześnie najedzeni i przytomni (obiady, kawa, napoje energetyzujące i przekąski)
  • chętnych zaprosimy na wieczorne zajęcia integracyjne z trenerami oraz redakcją z3s

Wymagania wobec sprzętu i ludzi

  • komputer z możliwością podłączenia do sieci Ethernet oraz uruchomienia VirtualBoxa i komfortowej pracy z uruchomioną maszyną wirtualną (zalecane min. 2 GB RAM oraz solidny procesor)
  • urządzenie z systemem iOS 7.x lub wyższym – (preferowany jailbreak – jego brak uniemożliwi wykonanie niektórych zadań)
  • urządzenie z systemem Android 4.x lub wyższym – (w przypadku Androida możliwe jest wykorzystanie emulatora)
  • znajomość podstaw budowy aplikacji mobilnych oraz koncepcji bezpieczeństwa
  • osobom nieposiadającym odpowiedniego doświadczenia technicznego oraz znajomości wymaganych zagadnień dostarczymy wcześniej odpowiednie materiały uzupełniające pomagające w przygotowaniu się do warsztatów

Nasi trenerzy:

Adam – Założyciel serwisu ZaufanaTrzeciaStrona, gdzie od kilku lat nieustannie goni internetowych przestępców i ostrzega dumnych obrońców infrastruktury przed nowymi zagrożeniami. Z uporem godnym lepszej sprawy tłumaczy skomplikowane ataki i edukuje użytkowników. Od 15 lat zawodowo zajmuje się bezpieczeństwem informacji, prelegent na prawie każdej dobrej polskiej konferencji poświęconej bezpieczeństwu.

Mateusz Kocielski –  Od lat zajmuje się zawodowo bezpieczeństwem. Członek zespołu LogicalTrust.net, gdzie prowadzi testy penetracyjne oraz badania. Brał udział w analizach bezpieczeństwa ponad setki aplikacji mobilnych oraz webowych. Występował na wielu konferencjach. Znalazł błędy m.in. w oprogramowaniu PHP, Apache, Microsoft, OpenSSH, FreeBSD, NetBSD. Współtwórca oprogramowania open source (m.in. PHP, NetBSD).

Borys Łącki – Jest autorem kilkudziesięciu prelekcji na branżowych konferencjach. Specjalista zajmujący się testami penetracyjnymi w firmie LogicalTrust. Od 7 lat tropi cyberprzestępców czyhających na nieświadomych użytkowników, a o swoich spostrzeżeniach informuje na łamach bloga www.bothunters.pl.

O firmie LogicalTrust

Wykorzystując ponad 10 lat doświadczenia chronimy naszych Klientów przed realnymi stratami finansowymi. Prowadzimy testy bezpieczeństwa serwisów WWW oraz aplikacji mobilnych, testy penetracyjne, audyty bezpieczeństwa, audyty kodu źródłowego, analizy powłamaniowe oraz szkolenia. Niestraszne nam systemy firm telekomunikacyjnych, instytucji finansowych czy sektora rządowego.

Zgromadzoną wiedzę i praktyczne doświadczenie wykorzystujemy prowadząc aktywne badania bezpieczeństwa oprogramowania Open Source, których wynikami dzielimy się na branżowych konferencjach oraz naszych blogach. Wierzymy, ze dzięki naszej działalności świat jest bezpieczniejszym miejscem.

Z naszych usług korzystały firmy i instytucje takie jak Alior Bank, DPD, Fabryka Broni „Łucznik”, Getin Noble Bank, KRD, Kruk, Meritum Bank, Ministerstwo Finansów, Money.pl, PKP, Statoil czy Viessmann.

Najczęściej zadawane pytania – część ogólna

Q: Dlaczego szkolenie prowadzi inna firma?

A: Prowadzenie ZaufanejTrzeciejStrony nie zostawia zbyt wiele czasu na inne zajęcia, dlatego postanowiliśmy powierzyć prowadzenie szkoleń firmie LogicalTrust, z którą współpracujemy prawie od początku istnienia naszego serwisu i do której mamy pełne zaufanie, że zrobi to najlepiej.

Q: Jaką mam gwarancję jakości szkolenia?

A: Troskę o jakość naszego serwisu przykładamy także do organizacji szkoleń. Trenerzy muszą znać swoją dziedzinę na wylot – ale także umieć przyznać się do własnej niewiedzy i wskazać, gdzie znaleźć można odpowiedź na trudne pytanie. Sama wiedza nie wystarcza, dlatego też muszą mieć talent do omawiania trudnych tematów w prosty sposób oraz dobry kontakt ze słuchaczami. Nie obędzie się też bez poczucia humoru i energii do utrzymania Was w dobrym nastroju przez kilka dni ciężkiej pracy.

Q: A co jeśli po szkoleniu nie będę zadowolony / zadowolona?

A: Jeśli w trakcie szkolenia lub po jego zakończeniu uznacie, że którykolwiek z elementów szwankował, nie wahajcie się tego nam zgłosić. Każdy problem postaramy się rozwiązać tak, by Wasze zadowolenie ze szkolenia osiągnęło maksymalny dopuszczalny poziom nie zagrażający zdrowiu Waszemu i pozostałych uczestników.

Q: Czy dowiem się wszystkiego?

A: Nie. Uczestnicy otrzymają zasób wiedzy wystarczający by mieć dobre pojęcie o najważniejszych elementach bezpieczeństwa aplikacji. Na pewno nie jest to wszystko, lecz dopiero duży pierwszy krok do dalszych badań i poszukiwania wiedzy. Uczestnicy szkolenia otrzymają pakiet umożliwiający samodzielny rozwój: książkę, ćwiczenia, informacje dodatkowe.

Q: Czym szkolenie różni się od podobnych szkoleń konkurencji?

A: Są firmy, na których szkoleniach jest bardzo fajnie. Są firmy, na których szkoleniach jest bardzo merytorycznie. My łączymy te dwa elementy w jednej sali.

Q: Po co Wam dwa projektory?

A: Aby lepiej przekazywać wiedzę na jednym wyświetlamy teorię, a na drugim ćwiczymy praktykę.

Najczęściej zadawane pytania – część dotycząca tylko tego szkolenia

Q: Dlaczego szkolenie trwa dwa dni?

ARodzajów błędów występujących w aplikacjach mobilnych jest tyle, że w naszej ocenie nie da się ich przyzwoicie omówić w krótszym czasie.

Q: O której zaczyna się szkolenie?

A: Szkolenie rozpoczyna się o godzinie 10:00.

Q: Co można przekazać w 2 dni?

AWybraliśmy to, co w oparciu o nasze doświadczenie uważamy za najważniejsze. Szczegóły znajdziecie w programie szkolenia.

Q: Dlaczego nie macie w programie systemów Windows Phone lub innych?

A: Wolimy wykorzystać dwa dni na solidne skupienie się na dwóch popularnych platformach, niż stracić czas na maraton po systemach, które są mało popularne. Większość prezentowanego materiału jest uniwersalna i odnosi się do wszystkich platform.

Formularz kontaktowy

Nie ma liście nurtującego Cię pytania? Wyślij je przez formularz, pocztą na adres szkoleniaz3s@logicaltrust.net lub zadzwoń na nr +48 601 86 14 85.