Bezpečnost bývá jedním z nejčastěji skloňovaných témat ve vývoji softwaru. Přesto se i dnes setkáváme s aplikacemi, které lze při dostatečné znalosti a odhodlání poměrně snadno obejít nebo zneužít. Jak takový útok vypadá v praxi, ukáže na konferenci mDevCamp vývojář a systémový architekt z automobilky Porsche Cyril Čermák.
Ve své přednášce s názvem Behind The Walls: Penetrating A Secure System nabídne detailní pohled na to, co všechno je možné provést s aplikací, která na první pohled splňuje běžné bezpečnostní standardy. „Má přednáška je praktickým příkladem postupného pronikání do standardně zabezpečené aplikace,“ slibuje softwarový inženýr a iOS System Architect ze společnosti Porsche AG Cyril Čermák ve své anotaci.
Od „bezpečného“ systému k jeho prolomení
V první části se Cyril Čermák zaměří na iOS prostředí, kde se pokusí obejít implementovaná bezpečnostní opatření a analyzovat chování aplikace za běhu. Následně se přesune k úpravám binárního kódu. Pomocí nástrojů a práce na úrovni assembleru ukáže, jak lze aplikaci modifikovat tak, aby se chovala odlišně od původního návrhu.
Upravenou verzi pak znovu nasadí do zařízení. V závěrečné části se slibuje věnovat pokročilejším technikám, včetně deaktivace SSL pinningu, což umožní provést tzv. MITM (Man-in-the-Middle) útok a analyzovat komunikaci aplikace. Na základě těchto kroků pak bude možné identifikovat a demonstrovat další potenciální zranitelnosti, kterými se můžete nechat překvapit naživo na mDevCampu.
Praktický pohled na reálné hrozby
Přínos přednášky spočívá především v jejím praktickém zaměření. Účastníci získají konkrétní představu o tom, jakým způsobem útočníci uvažují, jaké techniky nejčastěji používají při analýze aplikací, ale také kde se v praxi objevují slabá místa. Namísto teoretických doporučení nabídne Cyril Čermák více než realistický scénář, který ukáže limity běžně používaných bezpečnostních opatření.
Bezpečnost jako proces, ne stav
Jedním z hlavních sdělení přednášky je fakt, že bezpečnost není jednorázová vlastnost aplikace, ale kontinuální proces. I systémy, které splňují současné standardy, mohou být při detailnější analýze zranitelné.
Konference mDevCamp tak nabídne příležitost nahlédnout na vývoj softwaru z perspektivy, která je pro jeho kvalitu a důvěryhodnost klíčová. Téma osloví především mobilní vývojáře, bezpečnostní specialisty i technické lídry, kteří pracují s aplikacemi zpracovávajícími citlivá data. Přínosná však může být pro každého, kdo chce lépe porozumět tomu, jak lze aplikace analyzovat a napadnout – a jak se na takové situace připravit.
Přednáška Cyrila Čermáka přinese nejen technickou hloubku, ale především cenný vhled do reality, se kterou se moderní aplikace musí vyrovnávat. Setkat se s ním můžete na konferenci mDevCamp, která proběhne 3. a 4. června v Holešovické tržnici. Mediálním partnerem akce je i náš web SMARTmania.cz.
- Vstupenky a kompletní program naleznete na webu mdevcamp.eu.
Redakce
Další dnešní články
