1 / 20

Bring Your Own Deception Du besoin d’affaire jusqu’au code

HackFest.ca 2012 Québec, QC, Canada. Bring Your Own Deception Du besoin d’affaire jusqu’au code. Benoit Guérette OWASP Montréal Fondateur , Membre du conseil , Leader 2008-2010 benoit.guerette@owasp.org. BYODeception. SpeedTalk 20 minutes. La présentation. Déploiement BYOD

taniel
Download Presentation

Bring Your Own Deception Du besoin d’affaire jusqu’au code

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. HackFest.ca 2012 Québec, QC, Canada Bring Your Own DeceptionDu besoind’affairejusqu’au code • Benoit Guérette • OWASP Montréal • Fondateur, Membre du conseil, Leader 2008-2010 • benoit.guerette@owasp.org

  2. BYODeception SpeedTalk 20 minutes • La présentation • Déploiement BYOD • Choix du meilleur MDM • AngryBirds • 3 cas vécus avec des exécutifs • Le chemin vers les tests de sécurité • Le code / recommandations • NSDataWritingFileProtectionComplete

  3. BYODeception • Conférencier • Benoit Guérette • OWASP Montréal • Fondateur, Leader 2008-2010 • Membre du conseil • Équipe de traduction du Top Ten 2010 • WASC (Web Application Security Consorsium) • (webappsec.org) • Auteur, SATEC (StaticAnalysisToolEvaluationCriteria)

  4. BYODeception • Conférencier • NorthSec (nsec.io) • Membre du conseil d’administration (OSBL) • VP Finances

  5. BYODeception • CAS #1 – The AngryPresident • IPAD 64GB – Demande à TIde configurercourriels et envoyer le partageréseaud’entreprisecompletsurl’appareil (quoi???)

  6. BYODeception • CAS #2 – The Angry VP • Demande d’installation d’une suite BYOD qui est leader dans Gartner(coûts en PME importants)

  7. BYODeception • CAS #3 – The Angry IT Director • J’utilise l’application X, elle est sécuritaire car elle demande un mot de passe… 2 mots de passe ca doit être de la double sécurité lol???

  8. BYODeception • iOS • Oui, le système de fichier iOS est chiffré • Par contre, une partie est déchiffrée au démarrage de l’appareil, et accessible sans le PIN • http://code.google.com/p/iphone-dataprotection/wiki/EncryptionKeys

  9. BYODeception #1 OWASP Top Ten Mobile Insecure Data Storage • Facon d’analyser la partie publique • Applications pratiques • iExplorer • iPhoneView • Jailbreak (débridage en français!!!) • Changez le mot de passe par défaut • Accès au système de fichiers complet • Vive grep(efficace!) TSHIRT OWASP!!!

  10. BYODeception • PhoneView

  11. BYODeception • Fichiers non protégés • Le mot de passe sur l’application c’est bien, mais qu’en est-il du fichier? • Fichier PDF en clair sur l’appareil • Fichier contenant des mots de passe • Clés, etc. L’utilisateur ne veut pas entrer son mot de passe trop souvent… Directeur TI – son application sauvegarde les PDF en clair

  12. BYODeception • Fichiers non protégés • Utilisez le KeyChaind’iOS pour y placer des mots de passe

  13. BYODeception • Fichiers non protégés • NSDataWritingFileProtectionComplete

  14. BYODeception • Dictionnaires locaux • « auto-completion » sur les champs HTML rempli un dictionnaire local

  15. BYODeception • UIWebView • Fureteur embarqué (embeddedbrowser) non associé à Safari • Si le code serveur n’a pas désactivé la cache, le paramètre « PrivateBrowsing » ne s’applique pas donc les données sont accumulées sur l’appareil et accessible dans la partie publique

  16. BYODeception • Snapshot des applications • Afin d’accélérer l’affichage d’une application ayant été mise en arrière plan (bouton home), iOS prends un snapshotde l’application • Données bancaires, NAS, infos compromettante? /private/varcontient des snapshots de Safari

  17. BYODeception • Protocole • Contrairement au fureteur, les applications n’ont pas de barre d’adresse. • Êtes-vous réellement en HTTPS? • Utilisez l’option de proxy d’iOS avec : • OWASP ZAP / WebScarab / BurpIntruder • Squid?

  18. BYODeception • Ne pas oublier • Désactiver les traces de debug avant de livrer l’application • Ne pas oublier de retirer les contournements(bypass) de certificats SSL (fréquent en développement) • Les applications iOS n’accepte pas d’établir une connection SSL avec un certificat invalide…

  19. Références • https://www.owasp.org/index.php/OWASP_Mobile_Security_Project • https://www.owasp.org/index.php/IOS_Developer_Cheat_Sheet • Remerciements • Equipe du hackfest.ca 2012 • Francois Proulx(devmobile & spécialiste appsecmobile) • Simon Giroux, Guillaume Ross, Bernard Bolduc & Marc-André Meloche (longues discussions sur forensic mobiles)

  20. Question?

More Related