Page 8 - RealityNet Forensic Services

P. 8

R N R E A L I T Y N E TSSyysstteemm SSoolluuttiioonnss “Il telegrafo, il telefono, la radio e soprattutto il computer hanno fatto sì che chiunque, in qualsiasi

parte del mondo, si trovi ora nella condizione di essere a portata d'orecchio. Purtroppo, il prezzo da

pagare per questo è la perdita di privacy.” Steven Levy

MOBILE PENETRATION TESTING

Per le attività di Penetration Testing i nostri consulenti utilizzano processi e metodologie consolidate
nell'ambito della Mobile Security, come OWASP Mobile Top 10 Risks.

M1 - Insecure M2 - Weak M3 - Insufficient M4 - Client Side M5 - Poor
Data Storage Server Side Transport Layer Injection Authorization

Controls Protection and
Authentication

Laboratorio di analisi: M6 - Improper M7 - Security M8 - Side M9 - Broken M10 - Sensitive
tecnologie all’avanguardia Session Decisions Via Channel Data Cryptography Information
Handling Disclosure
I nostri consulenti utilizzano un Untrusted Leakage
laboratorio dedicato per l'analisi Inputs
dei dispositivi Mobile. Il laborato-
rio è attrezzato con potenti M1: accesso alle informazioni confidenziali memorizzate all’ interno del dispositivo mobile
workstation dotate degli emula- (es. username, password, cookie, log delle applicazioni)
tori dei principali sistemi operativi
(iOS, Android, BlackBerry, M2: debolezza implementativa dei servizi di backend (es. applicazioni web vulnerabili a XSS, CSRF)
Windows Phone) e dei software
di testing Open Source più M3: attacchi man-in-the-middle, tampering dei dati in transito, errori nei certificati di validazione
completi ed efficaci (Androwarn,
MobiSec,Droidbox,Androguard). M4: attacchi diretti alle applicazioni web (es. SQL Injection)

Il laboratorio è dotato inoltre dei M5: autenticazione/autorizzazione basata su valori costanti nel tempo (es. IMEI, IMSI, UUID)
più evoluti strumenti di estrazione
delle informazioni da dispositivi M6: gestione non corretta delle sessioni all'interno della applicazioni (es. HTTP Cookie, OAuth token)
Mobile(UFED Cellebrite, Oxygen
Forensics Suite,Elcomsoft iOS M7: utilizzo improprio di URL per l'accesso a funzionalità (es. reset del telefono, chiamate attraverso Skype)
Forensic Toolkit) e dei cavi di
collegamento di tutti i principali M8: accesso a informazioni sensibili memorizzate senza possibilità di controllo da parte dell'utente
modelli presenti sul mercato. (es. Web cache, keystroke logging, screenshot, geo-positioning)

M9: implementazioni crittografiche di facile violazione e mancato utilizzo delle corrette API

M10: accesso a informazioni confidenziali dal codice sorgente di un'applicazione (es. API Key)

Competenze e sviluppo DESTINATARI
I nostri professionisti:
I servizi di Mobile Security sono rivolti a chi ha la necessità di implementare un sistema di controllo sui
dispositivi mobile.

Sono dotati di un elevato grado di Aziende: protezione dei sistemi mobile aziendali da attacchi, al fine di garantire un elevato livello di
di esperienza in materia di Mobile sicurezza e confidenzialità delle informazioni
Security
Pubblica Amministrazione: difesa dell'infrastruttura informatica mobile, maggiormente esposta alla
Accrescono costantemente le intrusione da parte di attaccanti esterni
proprie conoscenze e compe-
tenze, partecipando a corsi di Privati: tutela dei dati personali conservati su dispositivi mobile come contatti, messaggi, posta elettroni-
formazione in Italia e all'estero ca, immagini e video

Sono in possesso delle certifica-
zioni di riferimento nel settore
della Mobile Security

3 4 5 6 7 8 9 10