REALITY NET - System Solutions

RN REALITY NET
System
S y s t e m Solutions
Solutions
MOBILE SECURITY
I dispositivi mobile governano al giorno d'oggi il mercato IT e sono lo strumento principale per comunicare e scambiare informazioni, spesso confidenziali e riservate. Per
questo motivo è fondamentale che le aziende adottino policy, procedure e best
practice con l’obiettivo di renderne sicuro l’utilizzo.
L’evoluzione degli ultimi anni ha inaugurato una nuova era per la mobilità
aziendale: dall'utilizzo di notebook e telefoni cellulari si è passati all’uso
dispositivi intelligenti come smartphone e tablet che permettono di coniugare
esigenze diverse.
Questi strumenti consentono comunicazioni vocali e testuali (SMS, chat,
email), sfruttano connessioni ad Internet always on e permettono di utilizzare
applicazioni “smart” in ambito lavorativo.
L'accesso alle reti tramite smartphone e tablet, spesso utilizzati anche per
scopi privati (BYOD), aumenta la produttività dei dipendenti. Tuttavia dispositivi non adeguatamente protetti, che eseguono applicazioni potenzialmente
insicure, possono essere soggetti ad attacchi malware, perdita o furto di dati
riservati generando problemi di tipo strategico e legale.
I dipartimenti IT sono oggi messi di fronte a nuove sfide per l'utilizzo di questi
dispositivi all'interno della reti aziendali, dovendo adottare policy e procedure
adeguate e operando le opportune scelte per mettere in sicurezza i moderni
dispositivi mobile.
Malware e PUA
Le minacce che possono colpire i
dispositivi mobile sono generalmente classificate in 2 categorie:
Malware e Potentially Unwanted
Application (PUA).
Con il termine malware si intendo
quelle mobile applications che
eseguono azioni che mettono a
rischio significativo il sistema o le
informazioni personali dell'utente.
In questa categoria rientrano
tipicamente le backdoor, i trojan
e i worm.
Con il termine PUA si intendono
invece le mobile applications che,
pur legittime da un punto di vista
delle loro funzionalità, rendono
disponibili
al
produttore
informazioni
dell'utente.
In
questa categoria rientrano
tipicamente gli spyware, gli
adware e i trackware.
CONSULENZA E SERVIZI
I nostri servizi di consulenza sono strutturati per accompagnare il cliente in tutte le fasi del
processo di messa in sicurezza dei dispositivi mobile all'interno dell'azienda
I principali servizi offerti sono:
RISK ANALYSIS: studio dello stato della sicurezza dei sistemi mobile all'interno della rete
aziendale, individuazione dei punti critici e degli elementi di rischio, stima della probabilità
e del costo di eventuali attacchi
POLICY AND PROCEDURE: definizione delle policy aziendali e creazione delle
procedure legate all'introduzione, gestione e dismissione di dispositivi mobile
MOBILE DEVICE MANAGEMENT: consulenza nell'introduzione e nella scelta di servizi di
MDM per la gestione dell'intero asset aziendale di dispositivi mobile
PENETRATION TESTING: verifica della resistenza dei sistemi di difesa implementati dalla
azienda e testing dei dispositivi mobile rispetto a diversi scenari (es. dispositivo perso o rubato,
accesso a reti Wi-Fi, installazione e utilizzo di applicazioni, possibilità di jailbreaking/rooting)
MALWARE ANALYSIS: analisi della presenza di malware su dispositivi aziendali e
individuazione di eventuali trasmissioni di dati riservati all'esterno dell'azienda
APP ANALYSIS: analisi della sicurezza delle applicazioni mobile, sviluppate o acquistate dal
cliente, rispetto ai diversi standard di riferimento (es. OWASP Mobile Security Risks, PCI-DSS)
RE@LITY NET - System Solutions Snc
via Assarotti 4/1
16122 Genova
tel/fax 010 8376257
via Giuseppe Luosi 14
20131 Milano
Tel: 02 87197230
info@realitynet.it
http://www.realitynet.it
info@digital-forensics.it
http://www.digital-forensics.it
RN REALITY NET
System
S y s t e m Solutions
Solutions
“Il telegrafo, il telefono, la radio e soprattutto il computer hanno fatto sì che chiunque, in qualsiasi
parte del mondo, si trovi ora nella condizione di essere a portata d'orecchio. Purtroppo, il prezzo da
pagare per questo è la perdita di privacy.”
Steven Levy
MOBILE PENETRATION TESTING
Per le attività di Penetration Testing i nostri consulenti utilizzano processi e metodologie consolidate
nell'ambito della Mobile Security, come OWASP Mobile Top 10 Risks.
Laboratorio di analisi:
tecnologie all’avanguardia
I nostri consulenti utilizzano un
laboratorio dedicato per l'analisi
dei dispositivi Mobile. Il laboratorio è attrezzato con potenti
workstation dotate degli emulatori dei principali sistemi operativi
(iOS, Android, BlackBerry,
Windows Phone) e dei software
di testing Open Source più
completi ed efficaci (Androwarn,
MobiSec,Droidbox,Androguard).
Il laboratorio è dotato inoltre dei
più evoluti strumenti di estrazione
delle informazioni da dispositivi
Mobile(UFED Cellebrite, Oxygen
Forensics Suite,Elcomsoft iOS
Forensic Toolkit) e dei cavi di
collegamento di tutti i principali
modelli presenti sul mercato.
M1 - Insecure
Data Storage
M2 - Weak
Server Side
Controls
M3 - Insufficient
Transport Layer
Protection
M4 - Client Side
Injection
M5 - Poor
Authorization
and
Authentication
M6 - Improper
Session
Handling
M7 - Security
Decisions Via
Untrusted
Inputs
M8 - Side
Channel Data
Leakage
M9 - Broken
Cryptography
M10 - Sensitive
Information
Disclosure
M1: accesso alle informazioni confidenziali memorizzate all’ interno del dispositivo mobile
(es. username, password, cookie, log delle applicazioni)
M2: debolezza implementativa dei servizi di backend (es. applicazioni web vulnerabili a XSS, CSRF)
M3: attacchi man-in-the-middle, tampering dei dati in transito, errori nei certificati di validazione
M4: attacchi diretti alle applicazioni web (es. SQL Injection)
M5: autenticazione/autorizzazione basata su valori costanti nel tempo (es. IMEI, IMSI, UUID)
M6: gestione non corretta delle sessioni all'interno della applicazioni (es. HTTP Cookie, OAuth token)
M7: utilizzo improprio di URL per l'accesso a funzionalità (es. reset del telefono, chiamate attraverso Skype)
M8: accesso a informazioni sensibili memorizzate senza possibilità di controllo da parte dell'utente
(es. Web cache, keystroke logging, screenshot, geo-positioning)
M9: implementazioni crittografiche di facile violazione e mancato utilizzo delle corrette API
M10: accesso a informazioni confidenziali dal codice sorgente di un'applicazione (es. API Key)
DESTINATARI
Competenze e sviluppo
I nostri professionisti:
I servizi di Mobile Security sono rivolti a chi ha la necessità di implementare un sistema di controllo sui
dispositivi mobile.
Sono dotati di un elevato grado di
di esperienza in materia di Mobile
Security
Aziende: protezione dei sistemi mobile aziendali da attacchi, al fine di garantire un elevato livello di
sicurezza e confidenzialità delle informazioni
Accrescono costantemente le
proprie conoscenze e competenze, partecipando a corsi di
formazione in Italia e all'estero
Sono in possesso delle certificazioni di riferimento nel settore
della Mobile Security
Pubblica Amministrazione: difesa dell'infrastruttura informatica mobile, maggiormente esposta alla
intrusione da parte di attaccanti esterni
Privati: tutela dei dati personali conservati su dispositivi mobile come contatti, messaggi, posta elettronica, immagini e video