RN REALITY NET System S y s t e m Solutions Solutions MOBILE SECURITY I dispositivi mobile governano al giorno d'oggi il mercato IT e sono lo strumento principale per comunicare e scambiare informazioni, spesso confidenziali e riservate. Per questo motivo è fondamentale che le aziende adottino policy, procedure e best practice con l’obiettivo di renderne sicuro l’utilizzo. L’evoluzione degli ultimi anni ha inaugurato una nuova era per la mobilità aziendale: dall'utilizzo di notebook e telefoni cellulari si è passati all’uso dispositivi intelligenti come smartphone e tablet che permettono di coniugare esigenze diverse. Questi strumenti consentono comunicazioni vocali e testuali (SMS, chat, email), sfruttano connessioni ad Internet always on e permettono di utilizzare applicazioni “smart” in ambito lavorativo. L'accesso alle reti tramite smartphone e tablet, spesso utilizzati anche per scopi privati (BYOD), aumenta la produttività dei dipendenti. Tuttavia dispositivi non adeguatamente protetti, che eseguono applicazioni potenzialmente insicure, possono essere soggetti ad attacchi malware, perdita o furto di dati riservati generando problemi di tipo strategico e legale. I dipartimenti IT sono oggi messi di fronte a nuove sfide per l'utilizzo di questi dispositivi all'interno della reti aziendali, dovendo adottare policy e procedure adeguate e operando le opportune scelte per mettere in sicurezza i moderni dispositivi mobile. Malware e PUA Le minacce che possono colpire i dispositivi mobile sono generalmente classificate in 2 categorie: Malware e Potentially Unwanted Application (PUA). Con il termine malware si intendo quelle mobile applications che eseguono azioni che mettono a rischio significativo il sistema o le informazioni personali dell'utente. In questa categoria rientrano tipicamente le backdoor, i trojan e i worm. Con il termine PUA si intendono invece le mobile applications che, pur legittime da un punto di vista delle loro funzionalità, rendono disponibili al produttore informazioni dell'utente. In questa categoria rientrano tipicamente gli spyware, gli adware e i trackware. CONSULENZA E SERVIZI I nostri servizi di consulenza sono strutturati per accompagnare il cliente in tutte le fasi del processo di messa in sicurezza dei dispositivi mobile all'interno dell'azienda I principali servizi offerti sono: RISK ANALYSIS: studio dello stato della sicurezza dei sistemi mobile all'interno della rete aziendale, individuazione dei punti critici e degli elementi di rischio, stima della probabilità e del costo di eventuali attacchi POLICY AND PROCEDURE: definizione delle policy aziendali e creazione delle procedure legate all'introduzione, gestione e dismissione di dispositivi mobile MOBILE DEVICE MANAGEMENT: consulenza nell'introduzione e nella scelta di servizi di MDM per la gestione dell'intero asset aziendale di dispositivi mobile PENETRATION TESTING: verifica della resistenza dei sistemi di difesa implementati dalla azienda e testing dei dispositivi mobile rispetto a diversi scenari (es. dispositivo perso o rubato, accesso a reti Wi-Fi, installazione e utilizzo di applicazioni, possibilità di jailbreaking/rooting) MALWARE ANALYSIS: analisi della presenza di malware su dispositivi aziendali e individuazione di eventuali trasmissioni di dati riservati all'esterno dell'azienda APP ANALYSIS: analisi della sicurezza delle applicazioni mobile, sviluppate o acquistate dal cliente, rispetto ai diversi standard di riferimento (es. OWASP Mobile Security Risks, PCI-DSS) RE@LITY NET - System Solutions Snc via Assarotti 4/1 16122 Genova tel/fax 010 8376257 via Giuseppe Luosi 14 20131 Milano Tel: 02 87197230 [email protected] http://www.realitynet.it [email protected] http://www.digital-forensics.it RN REALITY NET System S y s t e m Solutions Solutions “Il telegrafo, il telefono, la radio e soprattutto il computer hanno fatto sì che chiunque, in qualsiasi parte del mondo, si trovi ora nella condizione di essere a portata d'orecchio. Purtroppo, il prezzo da pagare per questo è la perdita di privacy.” Steven Levy MOBILE PENETRATION TESTING Per le attività di Penetration Testing i nostri consulenti utilizzano processi e metodologie consolidate nell'ambito della Mobile Security, come OWASP Mobile Top 10 Risks. Laboratorio di analisi: tecnologie all’avanguardia I nostri consulenti utilizzano un laboratorio dedicato per l'analisi dei dispositivi Mobile. Il laboratorio è attrezzato con potenti workstation dotate degli emulatori dei principali sistemi operativi (iOS, Android, BlackBerry, Windows Phone) e dei software di testing Open Source più completi ed efficaci (Androwarn, MobiSec,Droidbox,Androguard). Il laboratorio è dotato inoltre dei più evoluti strumenti di estrazione delle informazioni da dispositivi Mobile(UFED Cellebrite, Oxygen Forensics Suite,Elcomsoft iOS Forensic Toolkit) e dei cavi di collegamento di tutti i principali modelli presenti sul mercato. M1 - Insecure Data Storage M2 - Weak Server Side Controls M3 - Insufficient Transport Layer Protection M4 - Client Side Injection M5 - Poor Authorization and Authentication M6 - Improper Session Handling M7 - Security Decisions Via Untrusted Inputs M8 - Side Channel Data Leakage M9 - Broken Cryptography M10 - Sensitive Information Disclosure M1: accesso alle informazioni confidenziali memorizzate all’ interno del dispositivo mobile (es. username, password, cookie, log delle applicazioni) M2: debolezza implementativa dei servizi di backend (es. applicazioni web vulnerabili a XSS, CSRF) M3: attacchi man-in-the-middle, tampering dei dati in transito, errori nei certificati di validazione M4: attacchi diretti alle applicazioni web (es. SQL Injection) M5: autenticazione/autorizzazione basata su valori costanti nel tempo (es. IMEI, IMSI, UUID) M6: gestione non corretta delle sessioni all'interno della applicazioni (es. HTTP Cookie, OAuth token) M7: utilizzo improprio di URL per l'accesso a funzionalità (es. reset del telefono, chiamate attraverso Skype) M8: accesso a informazioni sensibili memorizzate senza possibilità di controllo da parte dell'utente (es. Web cache, keystroke logging, screenshot, geo-positioning) M9: implementazioni crittografiche di facile violazione e mancato utilizzo delle corrette API M10: accesso a informazioni confidenziali dal codice sorgente di un'applicazione (es. API Key) DESTINATARI Competenze e sviluppo I nostri professionisti: I servizi di Mobile Security sono rivolti a chi ha la necessità di implementare un sistema di controllo sui dispositivi mobile. Sono dotati di un elevato grado di di esperienza in materia di Mobile Security Aziende: protezione dei sistemi mobile aziendali da attacchi, al fine di garantire un elevato livello di sicurezza e confidenzialità delle informazioni Accrescono costantemente le proprie conoscenze e competenze, partecipando a corsi di formazione in Italia e all'estero Sono in possesso delle certificazioni di riferimento nel settore della Mobile Security Pubblica Amministrazione: difesa dell'infrastruttura informatica mobile, maggiormente esposta alla intrusione da parte di attaccanti esterni Privati: tutela dei dati personali conservati su dispositivi mobile come contatti, messaggi, posta elettronica, immagini e video