Ответы к вопросам по безопасности мобильных приложений. 1. Основные понятия и определения безопасности мобильных приложений 2
 Скачать 80.07 Kb.
|
34. Примеры взлома Wi-Fi – сетейСегодня самыми популярными компьютерными сетями становятся беспроводные локальные сети WiFi. Легко подключить, просто пользоваться, устройства, обеспечивающие связь, вполне доступны по цене. Основная проблема такой сети – безопасность. На заре ее использования хакеры легко подключались к любой точке доступа. Одноминутный взлом вай фай – миф или реальность? Если углубиться в историю 90-х годов, то стоит отметить, что удобство использования беспроводной сети тогда перекрыло те негативные моменты, которые обнаружились в защите работающего протокола WEP. Он обеспечивал тот же уровень безопасности, что и обычная сеть Ethernet, в которой данные передавались в открытом виде, но доступ к ним требовал специальных действий, как на уровне протоколов, так и на уровне программ. Уровень защиты сети требовал доработки, поскольку уже 2007 году публично на конференции по компьютерной безопасности было показано, как взломать вай фай за 3 секунды. Как результат – появился новый протокол WAP, разработанный в двух вариантах. Первый вариант был выполнен с оглядкой назад, а второй направлен на перспективное будущее. Система защиты TKIP (шифрование ключей) позволяла совместить старые устройства программно через обновление драйверов, а сам протокол получил название «защищенный доступ к Wi-Fi» (WAP). Второй вариант протокола (WAP2) обеспечивал целостность передачи данных за счет введение алгоритма AES, обеспечивающего шифрование данных на основе длинных ключей. Сейчас этот протокол обязателен для всех сертифицированных устройств Wi-Fi. Он обеспечивает не только шифрование данных, но и защиту канала от поддельных пакетов. Но все эти действия не сделали взлом Wi-Fi невозможным. Система осталась уязвимой. ОСНОВНЫЕ УЗКИЕ МЕСТА НОВЫХ ПРОТОКОЛОВ 1. Предустановленный ключ, или «Персональный режим». Это слабое звено носит название «упрощенный режим использования ключей» (PSK). Когда атака простым перебором значений позволяет вычислить слабый короткий пароль системы. 2. Встроенная возможность совместимости со старым WEP протоколом открыла опасную лазейку для новых изощренных хакерских атак. Немецким хакерам Беку и Тьюзу удалось в зашифрованный сетевой трафик вставить поддельные пакеты, которые могли нарушить работу сети. Сегодня для взлома Wi-Fi существует много разных программных средств. Они даже название специальное получили – снифферы (в переводе с английского языка – «нюхачи»). Их функционал рассчитан на анализ сетевого трафика. Популярная программа Wireshark, представленная у нас на сайте(Скачать wireshark), может служить инструментом для анализа и устранения проблем сети, а может быть использована и в хакерских. КАК ИСПОЛЬЗОВАТЬ WIRESHARK ДЛЯ ВЗЛОМА ВАЙ ФАЙ Для примера работы программы необходимо две машины, подключенных к роутеру. Компьютер с загруженной утилитой Wireshark берет на себя роль роутера, через который идет трансляция пакетов с ноутбука. Ноутбук подключен через открытую сеть WiFi. Например можно осуществить перехват пакетов с ноутбука, на котором загружена личная страница в контакте. Анализ перехваченного трафика позволяет найти идентификатор входа на страницу и просто подставить его в браузер. И вы окажитесь авторизованными на той же странице, при этом, не зная ни логина, ни пароля. Для целей взлома пароля вай фай обычно используют другие утилиты, а с помощью Wireshark идет расшифровка сохраненных файлов с перехваченным трафиком. Использовать эту программу удобно потому, что мощный набор фильтров позволяет быстро найти нужные данные. 35. Базовые правила мобильной безопасностиКакие же правила мобильной безопасности стоит помнить и не нарушать? 1. Никогда не переходите по ссылкам и не устанавливайте приложения/обновления безопасности, пришедшие по SMS/электронной почте, даже если они от банка. В последнее время участились случаи, когда при переходе на присланную ссылку вы попадаете на так называемый сайт-клон, который выглядит идентично официальному сайту банка и, введя свой логин и пароль, вы реально предоставите мошенниками все права для действий. 2. Если вам нужно обновить или скачать мобильное приложение, делайте это только с официального сайта банка либо других официальных источников, например, GooglePlay, AppStore, магазина Windows. 3. Не забывайте устанавливать и обновлять на своем гаджете антивирус, ведь посредством вирусных программ злоумышленники запросто могут «добывать» информацию с вашего устройства. 4. Всегда выходите из мобильных приложений при помощи кнопки «выход», а не закрытием окна, нажав на «крестик». 5. Возьмите за привычку устанавливать на свои гаджеты пароли и периодически их меняйте. Тем самым при их потере вы как минимум будете иметь время заблокировать номера, что не позволит войти в мобильный банкинг. 6. При утере мобильного телефона сразу же звоните в call-center своего оператора и блокируйте номер. 7. Никогда не отвечайте на SMS-ки, пришедшие якобы с номера банка. 8. При смене номера телефона, на который уже подключена услуга мобильного банкинга, не забудьте обратиться в банк и отключить ее. 9. Установите адекватный лимит снятия денежных средств с ваших карт при оплате покупок товаров и услуг в Интернете. 36. Приложения и сервисы для поиска уязвимостей мобильных устройствИнструменты для поиска уязвимости приложений Android или iOS: Ostorlab позволят проверить приложение на Android или iOS и получить подробный отчет о результатах проверки; С Appvigil вы получите не только описание возможных угроз, но и рекомендации по устранению уязвимости для быстрого решения проблемы. Никакие программы устанавливать не надо, поскольку все обрабатывается в облаке Appvigil; Quixxi предназначен для получения мобильной аналитики, защиты мобильных приложений и восстановления потенциальных доходов. Для проверки потребуется несколько минут. После завершения проверки у вас будет краткий отчет об уязвимости; Как можно догадаться по названию, AndroTotal пригоден только для работы с приложениями на Android. AndroTotal проверяет файл APK на наличие вирусов и вредоносного кода, сверяя результаты антивирусных программ; Akana — это интерактивный инструмент для анализа приложений для Android. Akana проверяет приложение на наличие вредоносного кода и отображает сведения о результатах; Nviso APKSCAN — это еще один удобный сетевой инструмент для проверки приложения на наличие вредоносного кода. Результаты могут быть готовы не сразу, это зависит от вашего места в очереди. Можете оставить свою электронную почту и получить уведомление, когда отчет будет готов. Проверяется следующее: активность диска; поиск вирусов; сетевой трафик; возможность совершения телефонного звонка, отправки SMS; криптографическая активность; утечка данных; SandDroid разработан исследовательской группой Botnet и Сианьского транспортного университета. Проверяется следующее: размер/хеш файла, версия SDK; сетевые данные, компоненты, закодированные свойства, уязвимый API, анализ IP; утечки данных, SMS, отслеживание телефонных звонков; поведение, представляющее угрозу, и вероятность угрозы. 37. Функциональное тестирование мобильных приложенийФункциональное тестирование — это тестирование ПО в целях проверки реализуемости функциональных требований, то есть способности ПО в определённых условиях решать задачи, нужные пользователям. Функциональные требования определяют, что именно делает ПО, какие задачи оно решает. Функциональные требования включают в себя: Функциональная пригодность (англ. suitability). Точность (англ. accuracy). Способность к взаимодействию (англ. interoperability). Соответствие стандартам и правилам (англ. compliance). Защищённость (англ. security). 38. Регрессионное тестирование мобильных приложенийРегрессионное тестирование (regression testing) – это механизм проверки, который направлен на обнаружение различных проблем в уже проверенных участках программ. Делается это не для окончательного убеждения в отсутствии неработающих участков кода, а чтобы найти и исправить регрессионные ошибки. Под ними понимают баги, которые появляются не во время написания программы, а при добавлении новых участков кода или исправлении допущенных ранее промахов в синтаксисе кода. Очевидно, что необходимость в регрессионных (возвратных) тестах появляется сразу после тестирования первой рабочей версии мобильного приложения. В этом случае, необходимо отметить все тесты, выявившие ошибки, или точнее их симптомы, в мобильном приложении. Главное назначение регрессионных тестов - контроль качества исправления обнаруженных в рабочих версиях мобильных приложений ошибок. Тесты, обнаружившие ошибки, должны быть вновь выполнены после исправления этих ошибок в следующей версии программы. Поэтому эти тесты включаются во множество регрессионных тестов для проверки очередной версии программы. При этом необходимо отметить, что при отборе регрессионных тестов следует учитывать уровень исправленных ошибок. Очевидно, при исправлении ошибок очень незначительных, например, исправление синтаксических ошибок в названиях кнопок интерфейса пользователя, достаточно произвольной или плановой проверки ее исправления, но специальные тесты не требуются, и включение их в множество регрессионных тестов не имеет смысла. В том случае, если на этапе подготовки очередной рабочей версии мобильного приложения произошли изменения кода, связанные, например, с введением новых функций или корректировкой интерфейса пользователя, то тесты, связанные с проверкой этих изменений кода мобильного приложения, так же должны войти в множество регрессионных тестов. Среди данных тестов могут быть и тесты, ранее опробованные на предыдущих версиях программы, и новые тесты, специально разработанные для проверки очередных изменений. Как показывает практика, время от времени, необходимо удостовериться в том, что вновь не проявляются ошибки, обнаруженные, исправленные, проверенные и закрытые еще в предыдущих версиях ПП. Поэтому в состав регрессионных тестов могут быть включены тесты, выявившие в свое время эти ошибки. С другой стороны, из множества регрессионных тестов могут быть удалены, так называемые “устаревшие тесты”, то есть тесты, выполнение которых после изменения кода становится просто бесполезным. Например, такими тестами могут оказаться тесты, выявляющие ошибки, связанные с работой некоторых удаленных из программы объектов пользовательского интерфейса (кнопок, диалогов и т. п.) или функций, которые в программе больше не используются. При этом следует отметить, что исключение тестов из множества регрессионных тестов желательно осуществлять таким образом, чтобы любой из удаленных тестов мог легко восстановиться. 39. Тестирование локализации мобильных приложенийТестирование локализации позволяет проверить насколько хорошо адаптирован продукт для определенной целевой аудитории в соответствии с ее культурными особенностями. Как правило, здесь рассматривается культурный и языковой аспекты, в частности перевод пользовательского интерфейса и соответствующей документации и файлов на другой язык, а также форматы валют, чисел, времени и телефонных номеров, и др. В тестирование локализации входит проверка правильности переведенного контента, различных элементов интерфейса, ошибок и системных сообщений, проверка раздела FAQ/Help и вспомогательной документации. Цель проводимого тестирования — проверить мультиязычный интерфейс приложения или сайта на наличие ошибок перевода, правильности почтовых адресов, имени и фамилии, валют, формата даты и времени, и пр. Чеклист тестирования локализации включает в себя: Определение того, какие языки поддерживаются приложением; Проверка правильности перевода в соответствии с тематикой приложения; Проверка правильности перевода элементов интерфейса приложения; Проверка перевода раздела FAQ/Help и вспомогательной документации. 40. Автоматизация тестирования (авто тесты) мобильных приложенийВажнейшим этапом тестирования ПП является автоматизация основных этапов процедуры выполнения тестов. Для того, чтобы понять роль и место автоматизации необходимо сравнить ее возможности с ручным тестированием ПП. Преимущества ручного тестирования – это гибкость при задании входных данных и оценке полученных результатов. Кроме того, любой вновь разработанный тестовый случай при его отладке обязательно несколько раз должен быть выполнен вручную. Это позволит разработчику тестовых случаев, в случае необходимости, отредактировать их содержимое в соответствии с требованиями к функционированию ПП. К недостаткам ручного тестирования, в первую очередь следует отнести низкую скорость выполнения тестовых случаев, а также высокую вероятность ошибок при вводе данных, обусловленную человеческим фактором. Особенно данные недостатки проявляются при многократном повторении группы тестовых случаев, то есть при регрессионном тестировании. Главные преимущества автоматического тестирования - это высокая скорость и высокая надежность выполнения тестов. При этом надежность выполнения не зависит от длины тестового цикла. Недостатками автоматического тестирования являются значительная трудоемкость создания и отладки автоматических тестовых случаев, а также их высокая чувствительность к любым, даже весьма незначительным, изменениям в ПП и соответственно к изменениям в самих тестовых случаях. Из вышесказанного следует: ручное выполнение тестов невозможно исключить из процесса тестирования; содержимое ручных тестов является входными данными для автоматических тестов; применение автоматических тестов целесообразно, в первую очередь, на завершающих этапах тестирования, когда подавляющее большинство ручных тестовых случаев отлажено и вероятность их изменения не высока; основное применение автоматических тестов – многократное регрессионное тестирование ПП и проверка стабильности его работы. |