200 likes | 276 Views
HackFest.ca 2012 Québec, QC, Canada. Bring Your Own Deception Du besoin d’affaire jusqu’au code. Benoit Guérette OWASP Montréal Fondateur , Membre du conseil , Leader 2008-2010 benoit.guerette@owasp.org. BYODeception. SpeedTalk 20 minutes. La présentation. Déploiement BYOD
E N D
HackFest.ca 2012 Québec, QC, Canada Bring Your Own DeceptionDu besoind’affairejusqu’au code • Benoit Guérette • OWASP Montréal • Fondateur, Membre du conseil, Leader 2008-2010 • benoit.guerette@owasp.org
BYODeception SpeedTalk 20 minutes • La présentation • Déploiement BYOD • Choix du meilleur MDM • AngryBirds • 3 cas vécus avec des exécutifs • Le chemin vers les tests de sécurité • Le code / recommandations • NSDataWritingFileProtectionComplete
BYODeception • Conférencier • Benoit Guérette • OWASP Montréal • Fondateur, Leader 2008-2010 • Membre du conseil • Équipe de traduction du Top Ten 2010 • WASC (Web Application Security Consorsium) • (webappsec.org) • Auteur, SATEC (StaticAnalysisToolEvaluationCriteria)
BYODeception • Conférencier • NorthSec (nsec.io) • Membre du conseil d’administration (OSBL) • VP Finances
BYODeception • CAS #1 – The AngryPresident • IPAD 64GB – Demande à TIde configurercourriels et envoyer le partageréseaud’entreprisecompletsurl’appareil (quoi???)
BYODeception • CAS #2 – The Angry VP • Demande d’installation d’une suite BYOD qui est leader dans Gartner(coûts en PME importants)
BYODeception • CAS #3 – The Angry IT Director • J’utilise l’application X, elle est sécuritaire car elle demande un mot de passe… 2 mots de passe ca doit être de la double sécurité lol???
BYODeception • iOS • Oui, le système de fichier iOS est chiffré • Par contre, une partie est déchiffrée au démarrage de l’appareil, et accessible sans le PIN • http://code.google.com/p/iphone-dataprotection/wiki/EncryptionKeys
BYODeception #1 OWASP Top Ten Mobile Insecure Data Storage • Facon d’analyser la partie publique • Applications pratiques • iExplorer • iPhoneView • Jailbreak (débridage en français!!!) • Changez le mot de passe par défaut • Accès au système de fichiers complet • Vive grep(efficace!) TSHIRT OWASP!!!
BYODeception • PhoneView
BYODeception • Fichiers non protégés • Le mot de passe sur l’application c’est bien, mais qu’en est-il du fichier? • Fichier PDF en clair sur l’appareil • Fichier contenant des mots de passe • Clés, etc. L’utilisateur ne veut pas entrer son mot de passe trop souvent… Directeur TI – son application sauvegarde les PDF en clair
BYODeception • Fichiers non protégés • Utilisez le KeyChaind’iOS pour y placer des mots de passe
BYODeception • Fichiers non protégés • NSDataWritingFileProtectionComplete
BYODeception • Dictionnaires locaux • « auto-completion » sur les champs HTML rempli un dictionnaire local
BYODeception • UIWebView • Fureteur embarqué (embeddedbrowser) non associé à Safari • Si le code serveur n’a pas désactivé la cache, le paramètre « PrivateBrowsing » ne s’applique pas donc les données sont accumulées sur l’appareil et accessible dans la partie publique
BYODeception • Snapshot des applications • Afin d’accélérer l’affichage d’une application ayant été mise en arrière plan (bouton home), iOS prends un snapshotde l’application • Données bancaires, NAS, infos compromettante? /private/varcontient des snapshots de Safari
BYODeception • Protocole • Contrairement au fureteur, les applications n’ont pas de barre d’adresse. • Êtes-vous réellement en HTTPS? • Utilisez l’option de proxy d’iOS avec : • OWASP ZAP / WebScarab / BurpIntruder • Squid?
BYODeception • Ne pas oublier • Désactiver les traces de debug avant de livrer l’application • Ne pas oublier de retirer les contournements(bypass) de certificats SSL (fréquent en développement) • Les applications iOS n’accepte pas d’établir une connection SSL avec un certificat invalide…
Références • https://www.owasp.org/index.php/OWASP_Mobile_Security_Project • https://www.owasp.org/index.php/IOS_Developer_Cheat_Sheet • Remerciements • Equipe du hackfest.ca 2012 • Francois Proulx(devmobile & spécialiste appsecmobile) • Simon Giroux, Guillaume Ross, Bernard Bolduc & Marc-André Meloche (longues discussions sur forensic mobiles)