VAN WYK KENNETH L'arte di costruire applicazioni sicure per iOS e Android
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
LA TECHNOLOGY TRANSFER PRESENTA
KENNETH
VAN WYK
L’arte di costruire
applicazioni sicure
per iOS e Android
ROMA 3-5 DICEMBRE 2012
VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37
info@technologytransfer.it
www.technologytransfer.itL’arte di costruire applicazioni sicure per iOS e Android DESCRIZIONE Questo workshop esamina i problemi di sicurezza che si trovano ad affrontare gli sviluppatori di applicazioni che scrivono codice per piattaforme mobili. In particolare questo seminario si soffermerà sulla piattaforma iOS di Apple usata da iPhone, iPad e iPod Touch e sulla piattaforma Android di Google. Entrambi iOS e Android sono i leaders di mercato nel mondo delle applicazioni mobile. Questo seminario spiega in maniera chiara i problemi, come possono essere affrontati e i modi di reagire ai vari attacchi. Il seminario è fortemente hands-on per fare in modo che i partecipanti abbiano la dimostrazione pratica dei problemi e delle soluzioni. Il seminario comincia con una descrizione dei problemi di sicurezza che si trova ad affrontare lo sviluppatore software e con una descrizione dettagliata dei “Top 10” difetti di sicurezza dell’OWASP (Open Web Application Security Project). Questi difetti sono spiegati dal docente e poi, attraverso delle esercitazioni pratiche, ciascun partecipante imparerà come oggi vengono sfruttati questi difetti per “fare irruzione” in una reale applicazione Web e simulatori dei device mobile. Successivamente il seminario spiega le attività pratiche che devono essere fatte attraverso il design, l’implementazione e il testing di una applicazione mobile su entrambe le piattaforme. Quindi si andrà in dettaglio all’interno di ciascuna piattaforma attraverso Case Studies ed esercitazioni prati- che. Verranno descritte l’architettura della piattaforma e l’architettura dell’applicazione con la descrizione dei servizi di sicurezza sia a livello network/piattaforma che a livello delle applicazioni stesse. Infine il seminario esamina i comuni meccanismi di sicurezza trovati all’interno delle applicazioni e spiega come implementarli in maniera sicura nelle applicazioni. PARTECIPANTI Questo seminario si rivolge a Sviluppatori con esperienza di applicazioni iOS e Android. È indicato anche per Architetti di applicazioni mobile che hanno un background di sviluppo software, specialmente in linguaggi di programmazione Object Oriented. Si ricorda ai partecipanti di portare il laptop per le esercitazioni. Configurazioni minime raccomandate: • Per iOS: - Apple OS X Snow Leopard con gli ultimi aggiornamenti - Kit di sviluppo software Xcode di Apple per iOS - La registrazione al programma di sviluppo per iPhone di Apple è fortemente raccomandata • Per Android - OS X o Windows - Eclipse Classic http://www.eclipse.org/downloads/moreinfo/classic.php - Android Eclipse Development Tools Plug-in http://developer.android.com/sdk/eclipse-adt.html#installing • Approssimativamente 10Gigabytes di disco disponibile • 2-4 Gigabytes di RAM
PROGRAMMA
PRIMA GIORNATA SECONDA GIORNATA: iOS TERZA GIORNATA: ANDROID
1. Fase di preparazione: Capire 6. Architettura della piattaforma 9. Architettura della piattaforma
il problema
• Discussione dettagliata delle ca- • Discussione dettagliata delle ca-
• Quali sono gli aspetti critici di un ratteristiche di sicurezza della ratteristiche di sicurezza della
software mobile che è suscettibi- piattaforma iOS piattaforma Android
le di attacchi? • Application sandboxing • Testing delle applicazioni usando
• Perché gli sviluppatori di applica- • Hardware encryption il device emulator
zioni per smart phone continua- • Application signing
no a sviluppare software debole? • Il processo Application Store
• Testing delle applicazioni usando 10. Architettura dell’applicazione
il device emulator
2. Principi di sicurezza per
• Design e architettura delle appli-
Smart Phone
cazioni sicure
• Principi di sicurezza che si appli- 7. Architettura dell’applicazione • Applicazioni stand-alone
cano direttamente alle applica- • Applicazioni client-server
zioni per smart phone • Design e architettura delle appli- • Applicazioni di rete
• Punti dei Top 10 di OSWAP perti- cazioni sicure
nenti con gli smat phones • Applicazioni stand-alone
• Esercizi hands-on per illustrare i • Applicazioni client-server 11. Meccanismi comuni di sicu-
problemi • Applicazioni di rete rezza
• Una dettagliata presentazione
3. Revisione del Design usando 8. Meccanismi comuni di sicu- dei meccanismi vitali di sicurez-
il Threat Modeling rezza za e di come implementarli con
sicurezza
• Revisione del Design usando il • Una dettagliata presentazione • Networks communications
Threat Modeling dei meccanismi vitali di sicurez- • Autenticazione
• Trovare i punti deboli in una ar- za e di come implementarli con • Controllo dell’accesso
chitettura applicativa sicurezza • Protezione dei dati sensibili
• Documentare come i punti deboli • Networks communications • Uso del database
possono essere sfruttati • Autenticazione
• Decidere cosa e come mitigare • Controllo dell’accesso
le debolezze • Protezione dei dati sensibili 12. Getting Started – Come met-
• Uso del database tere tutto questo in pratica
4. Revisione del codice
• Metodi efficaci di revisione del
codice sorgente per debolezze
• Manual peer reviews
• Automated code scans
5. Security Testing
• Esercizi hands-on sul Threat
Modeling
• Revisione di un design passo
dopo passo per ricercare le de-
bolezze
• Discussione su quali devono es-
sere mitigate e comeINFORMAZIONI
QUOTA DI MODALITÀ D’ISCRIZIONE CONDIZIONI GENERALI TUTELA DATI PERSONALI
PARTECIPAZIONE In caso di rinuncia con
Il pagamento della quota, Ai sensi dell’art. 13 della legge
€ 1600 (+iva) IVA inclusa, dovrà essere preavviso inferiore a 15 giorni
n. 196/2003, il partecipante è
effettuato tramite bonifico, verrà addebitato il 50% della
La quota di partecipazione informato che i suoi dati
codice IBAN: quota di partecipazione, in
comprende documentazione, personali acquisiti tramite la
IT 03 W 06230 03202 000057031348 caso di rinuncia con preavviso
colazioni di lavoro e coffee scheda di partecipazione al
Banca: Cariparma inferiore ad una settimana
breaks. seminario saranno trattati da
Agenzia 1 di Roma verrà addebitata l’intera quota.
intestato alla Technology Transfer anche
In caso di cancellazione del
Technology Transfer S.r.l. con l’ausilio di mezzi elettronici,
seminario, per qualsiasi
LUOGO e la ricevuta di versamento con finalità riguardanti
causa, la responsabilità della
Roma, Visconti Palace Hotel inviata insieme alla scheda l’esecuzione degli obblighi
di iscrizione a: Technology Transfer si intende
Via Federico Cesi, 37 derivati dalla Sua
limitata al rimborso delle quote
TECHNOLOGY partecipazione al seminario,
di iscrizione già pervenute.
TRANSFER S.r.l. per finalità statistiche e per
DURATA ED ORARIO Piazza Cavour, 3 l’invio di materiale
SCONTI DI GRUPPO
3 giorni: 9.30-13.00 00193 ROMA promozionale dell’attività di
14.00-17.00 (Tel. 06-6832227 Se un’azienda iscrive allo Technology Transfer.
Fax 06-6871102) stesso evento 5 partecipanti, Il conferimento dei dati è
pagherà solo 4 partecipazioni. facoltativo ma necessario per
Chi usufruisce di questa la partecipazione al seminario.
entro il 19 Novembre 2012
agevolazione non ha diritto ad Il titolare del trattamento dei
Vi consigliamo di far precedere altri sconti per lo stesso evento. dati è Technology Transfer,
la scheda d’iscrizione da una
Piazza Cavour, 3 - 00193
prenotazione telefonica. ISCRIZIONI IN ANTICIPO Roma, nei cui confronti il
I partecipanti che si iscriveranno partecipante può esercitare i
È previsto il servizio di al seminario 30 giorni prima diritti di cui all’art. 13 della
traduzione simultanea avranno uno sconto del 5%. legge n. 196/2003.
KENNETH VAN WYK nome ......................................................................
L’ARTE DI COSTRUIRE APPLICAZIONI
SICURE PER iOS E ANDROID cognome ................................................................
funzione aziendale .................................................
Roma 3-5 Dicembre 2012 Timbro e firma
Visconti Palace Hotel azienda ..................................................................
Via Federico Cesi, 37
Quota di iscrizione: partita iva ...............................................................
€ 1600 (+iva)
codice fiscale .........................................................
indirizzo ..................................................................
In caso di rinuncia o di cancellazione dei seminari
valgono le condizioni generali riportate sopra.
città ........................................................................
cap .........................................................................
provincia ................................................................
telefono .................................................................. Da restituire compilato a:
Technology Transfer S.r.l.
Piazza Cavour, 3 - 00193 Roma
fax .......................................................................... Tel. 06-6832227 - Fax 06-6871102
info@technologytransfer.it
È previsto il servizio di traduzione simultanea e-mail ..................................................................... www.technologytransfer.itDOCENTE Kenneth van Wyk è un riconosciuto esperto di Information Security di fama internazionale, autore del libro “Incident Response” and “Secure Coding“. È membro del Board of Directors e Stering Committee di FIRST.org, una organizzazione no-profit. È columnist di Computerworld ed è Project Leader dell’Open Web Application Security Project (OWASP) iGoat project. Ha più di 22 anni di esperienza nel settore dell’IT Secu- rity, ha operato a livello accademico, militare e nei settori commerciali. Ha occupato posizioni tecniche presti- giose alla Tekmark, Para-Protect, SAIC oltre che al Dipartimento della Difesa e alle Università di Canergie Mel- lon e Lehigh. È stato membro e chairman del comitato esecutivo di FIRST (Forum of Incident Response and Security Teams) ed è stato uno dei fondatori di CERT (Computer Emergency Response Team).
Puoi anche leggere
