Bezpieczeństwo aplikacji mobilnych – atak i obrona

Bezpieczeństwo aplikacji mobilnych - atak i obrona

Warsaw-center-free-license-CC0
Warszawa, 3 grudnia 2018

Czas trwania: 1 dzień (8h), Prowadzący: Michał Dardas, Adam Haertle

Cena: 999 PLN netto

Masz pytania? Wyślij je przez formularz, pocztą na adres szkoleniaz3s@logicaltrust.net lub zadzwoń na nr +48 71 738 24 35.

Szkolenie możemy przeprowadzić także w wersji zamkniętej tylko dla Twojej firmy, także w języku angielskim.

Nasze referencje

Nasi pracownicy szczególnie docenili dopasowanie programu szkolenia do ich sugestii (co umożliwiło m.in. wspólną analizę firmowej aplikacji). Wysoko ocenili otwartość, wszechstronność i umiejętności dydaktyczne prowadzącego. Spodobało im się również czytelne przekazanie treści, poparte licznymi przykładami i anegdotami. Szkolenie pozwoliło pracownikom eSky.pl S.A. na usystematyzowanie oraz poszerzenie posiadanej wiedz, a także uświadomiło, jak łatwo popełnić błąd i jakie mogą być jego konsekwencje.

eSky.pl

Jakie będą korzyści dla Ciebie

  • uzyskasz praktyczną wiedzę od pentesterów zajmujących się na co dzień przełamywaniem zabezpieczeń
  • poznasz popularne metody ataków i nauczysz się je samodzielnie przeprowadzać we własnym środowisku
  • zrozumiesz jak działają narzędzia automatyzujące, ułatwiające proces przełamywania zabezpieczeń, pozyskiwania danych, odgadywania/łamania haseł
  • nauczysz się jak wykorzystać narzędzia lub pisać własne skrypty ułatwiające przeprowadzenie działań
  • zrozumiesz stopień krytyczności poszczególnych rodzajów podatności, zlokalizujesz ich źródło oraz podejmiesz odpowiednie środki zaradcze
  • nawiążesz cenne kontakty zawodowe

Jakie będą korzyści dla Twojego pracodawcy

  • tańszy rozwój bezpieczniejszych aplikacji poprzez możliwość samodzielnego przeprowadzenia podstawowych testów bezpieczeństwa
  • zwiększenie wartości tworzonych produktów dzięki ich większej odporności na błędy i ataki
  • poprawa jakości i bezpieczeństwa realizowanych zadań programistycznych i administracyjnych
  • zwiększenie prestiżu na rynku w związku z podniesieniem kwalifikacji kadry

Program merytoryczny szkolenia

  • Wprowadzenie
    • zagrożenia dla aplikacji mobilnych
    • OWASP Mobile Project
  • Android
    • wprowadzenie do platformy Android
    • najważniejsze mechanizmy Androida z punktu widzenia bezpieczeństwa
  • iOS
    • wprowadzenie do platformy iOS
    • najważniejsze mechanizmy iOS z punktu widzenia bezpieczeństwa
  • Dystrybucja aplikacji
    • budowa aplikacji
    • podpisy aplikacji
    • Google Play
    • AppStore
    • omijanie szyfrowania plików AppStore
  • Przegląd popularnych narzędzi do testowania bezpieczeństwa
  • Niewłaściwe przechowywanie danych
    • identyfikacja niewłaściwie niezabezpieczonych danych
    • mechanizmy bezpiecznego przechowywania danych
  • Zabezpieczenie komunikacji sieciowej
    • połączenia TLS/SSL
    • obsługa certyfikatów X.509
    • metody omijania TLS/SSL
  • Nieumyślny wyciek danych
    • obsługa wrażliwych danych
    • obsługa cache
    • obsługa logowania
    • trwałe usuwanie danych
    • obsługa pasteboard
    • przejście aplikacji do tła
  • Problemy autoryzacji oraz uwierzytelniania
  • Niebezpieczne użycie kryptografii
  • Ataki injections w aplikacjach (SQL injection, XSS)
    • obsługa komponentów WebView
    • komunikacja z bazą danych
  • Obsługa niezaufanych danych
    • obsługa mechanizmów IPC
  • Obsługa sesji
  • Środowisko uruchomieniowe aplikacji
    • manipulacja środowiskiem uruchomieniowym
    • wykrywanie jailbreak / root
  • Inne błędy specyficzne dla platformy Android
    • tapjacking

Każda z kategorii błędów zawiera informacje nt. identyfikacji, metod wykorzystania oraz ochrony. Większość podpunktów kończy się praktycznym ćwiczeniem.

Co od nas dostaniesz

  • minimum 7 godzin hardcorowego szkolenia
  • pendrive z maszynami testowymi
  • materiały szkoleniowe (wydrukowane slajdy, prezentacje)
  • obiad + przerwy kawowe
  • certyfikat uczestnictwa w szkoleniu
  • gadżety z3s
  • sporo dobrej zabawy

Kwestie organizacyjne

  • szkolenie zaczynamy o 10 i pracujemy do 18
  • szkolenie odbywa się w wygodnej sali niedaleko dworca Warszawa Centralna
  • zadbamy o to by uczestnicy byli jednocześnie najedzeni i przytomni (obiad, kawa, napoje energetyzujące i przekąski)

Wymagania wobec sprzętu i ludzi

  • komputer z możliwością podłączenia do sieci oraz uruchomienia VirtualBoxa i komfortowej pracy z uruchomioną maszyną wirtualną (zalecane min. 2 GB RAM oraz solidny procesor)
  • znajomość podstaw budowy aplikacji mobilnych oraz koncepcji bezpieczeństwa
  • osobom nieposiadającym odpowiedniego doświadczenia technicznego oraz znajomości wymaganych zagadnień dostarczymy wcześniej odpowiednie materiały uzupełniające pomagające w przygotowaniu się do warsztatów

Nasi trenerzy:

Michał Dardas – Ex-programista, rozwijający się jako tester bezpieczeństwa aplikacji mobilnych oraz webowych. Doświadczenie nabyte podczas rozwijania projektów związanych z branżą bankową i tłumaczeniową daje mu lepszy wgląd w testowane aplikacje oraz wiedzę, jak chronić je z punktu widzenia programisty. Dodatkowo, tworzy rozszerzenia do przydatnych w pracy pentestera narzędzi, którymi dzieli się ze społecznością testerską oraz pomaga w rozwoju projektów open-source.

Adam Haertle – Założyciel serwisu ZaufanaTrzeciaStrona, gdzie od kilku lat nieustannie goni internetowych przestępców i ostrzega dumnych obrońców infrastruktury przed nowymi zagrożeniami. Z uporem godnym lepszej sprawy tłumaczy skomplikowane ataki i edukuje użytkowników. Od 15 lat zawodowo zajmuje się bezpieczeństwem informacji, prelegent na prawie każdej dobrej polskiej konferencji poświęconej bezpieczeństwu.

O firmie LogicalTrust

Wykorzystując ponad 10 lat doświadczenia chronimy naszych Klientów przed realnymi stratami finansowymi. Prowadzimy testy bezpieczeństwa serwisów WWW oraz aplikacji mobilnych, testy penetracyjne, audyty bezpieczeństwa, audyty kodu źródłowego, analizy powłamaniowe oraz szkolenia. Niestraszne nam systemy firm telekomunikacyjnych, instytucji finansowych czy sektora rządowego.

Zgromadzoną wiedzę i praktyczne doświadczenie wykorzystujemy prowadząc aktywne badania bezpieczeństwa oprogramowania Open Source, których wynikami dzielimy się na branżowych konferencjach oraz naszych blogach. Wierzymy, ze dzięki naszej działalności świat jest bezpieczniejszym miejscem.

Z naszych usług korzystały firmy i instytucje takie jak Alior Bank, DPD, Fabryka Broni „Łucznik”, Getin Noble Bank, KRD, Kruk, Meritum Bank, Ministerstwo Finansów, Money.pl, PKP, Statoil czy Viessmann.

Najczęściej zadawane pytania – część ogólna

Q: Dlaczego szkolenie prowadzi inna firma?

A: Prowadzenie ZaufanejTrzeciejStrony nie zostawia zbyt wiele czasu na inne zajęcia, dlatego postanowiliśmy powierzyć prowadzenie szkoleń firmie LogicalTrust, z którą współpracujemy prawie od początku istnienia naszego serwisu i do której mamy pełne zaufanie, że zrobi to najlepiej.

Q: Jaką mam gwarancję jakości szkolenia?

A: Troskę o jakość naszego serwisu przykładamy także do organizacji szkoleń. Trenerzy muszą znać swoją dziedzinę na wylot – ale także umieć przyznać się do własnej niewiedzy i wskazać, gdzie znaleźć można odpowiedź na trudne pytanie. Sama wiedza nie wystarcza, dlatego też muszą mieć talent do omawiania trudnych tematów w prosty sposób oraz dobry kontakt ze słuchaczami. Nie obędzie się też bez poczucia humoru i energii do utrzymania Was w dobrym nastroju przez kilka dni ciężkiej pracy.

Q: A co jeśli po szkoleniu nie będę zadowolony / zadowolona?

A: Jeśli w trakcie szkolenia lub po jego zakończeniu uznacie, że którykolwiek z elementów szwankował, nie wahajcie się tego nam zgłosić. Każdy problem postaramy się rozwiązać tak, by Wasze zadowolenie ze szkolenia osiągnęło maksymalny dopuszczalny poziom nie zagrażający zdrowiu Waszemu i pozostałych uczestników.

Q: Czy dowiem się wszystkiego?

A: Nie. Uczestnicy otrzymają zasób wiedzy wystarczający by mieć dobre pojęcie o najważniejszych elementach bezpieczeństwa aplikacji. Na pewno nie jest to wszystko, lecz dopiero duży pierwszy krok do dalszych badań i poszukiwania wiedzy. Uczestnicy szkolenia otrzymają pakiet umożliwiający samodzielny rozwój, czyli ćwiczenia oraz informacje dodatkowe.

Q: Czym szkolenie różni się od podobnych szkoleń konkurencji?

A: Są firmy, na których szkoleniach jest bardzo fajnie. Są firmy, na których szkoleniach jest bardzo merytorycznie. My łączymy te dwa elementy w jednej sali.

Najczęściej zadawane pytania – część dotycząca tylko tego szkolenia

Q: O której zaczyna się szkolenie?

A: Szkolenie rozpoczyna się o godzinie 10:00.

Q: Co można przekazać w jeden dzień?

AWybraliśmy to, co w oparciu o nasze doświadczenie uważamy za najważniejsze. Szczegóły znajdziecie w programie szkolenia.

Q: Dlaczego nie macie w programie systemów Windows Phone / Blackberry / Palm OS / Symbian?

A: Wolimy wykorzystać te dzień na solidne skupienie się na dwóch popularnych platformach, niż stracić czas na maraton po systemach, które są mało popularne. Większość prezentowanego materiału jest uniwersalna i odnosi się do wszystkich platform.

Formularz kontaktowy

Nie ma liście nurtującego Cię pytania? Wyślij je przez formularz, pocztą na adres szkoleniaz3s@logicaltrust.net lub zadzwoń na nr +48 71 738 24 35.