Android Security Training
Transcription
Android Security Training
Formation Android: Attaque et défense Cette formation, intensive et 100% pratique, fournit les informations, les outils et le savoir-faire nécessaire à l’audit d’applications Android. Les participants apprendront également quelles sont les principales menaces et comment s’en prémunir. Ils auront aussi l’occasion lors d’exercices et d’un défi de voir comment les hackers opèrent et de se mettre à leur place. Informations Réf: Durée: Participants: Prix: Prix étudiants: F_1 1 jour 12 maximum 750 CHF 300 CHF Participants Un environnement complet et pré-configuré sera fourni à chaque participant. Pas d’installation, pas de temps perdu. Vous serez tout de suite dans le vif du sujet, les mains dans les applications Android. Développeurs, ingénieurs et techniciens, auditeurs Le programme de la formation est le suivant (il peut être adapté suivant le niveau des participants ou les illuminations du formateur): 100% pratique Matin Présentation et connexion à l’environnement de lab Se connecter à un appareil Android, adb Inspection du système de fichiers Décortiquer une application Android (APK) Le manifeste, les permissions, les activities, les services, ... Etudes des ressources (fichiers, SQLite, ...) Décompilation avec apktool, dex2jar, JD-GUI. Le smali, Dalvik, ... Etude statique des binaires avec Androlyze Etude dynamique avec Fino, injection de code Modification d’application, recompilation et signature Après-midi Etude d’applications du marché (Google Play) Interception des communications avec Burp Suite. modifications des requêtes, ... Désactivation des mesures de sécurité (SSL, ...) Les frameworks d’audits: Fino, Virtuous Ten, Drozer (ex-Mercury), ... Le chiffrement, les pièges à éviter Les bonnes pratiques L’obscurcissement Le défi ! Inscription sur http://2013.appsec-forum.ch/formations/ Type de formation Niveau Avancé Pré-requis 1 laptop (Linux, Mac ou Win) pouvant se connecter à un wi-fi, avec un viewer VNC (RealVNC recommandé) Objectifs Comprendre les enjeux de la sécurité en particulier concernant les applications Android. Acquérir les compétences nécessaires à l’audit et au développement d’applications Android sécurisées. Le défi ! A la fin de la formation, un petit défi sera proposé aux participants de la formation. Le but sera de mettre en pratique les notions apprises, avec un enjeu à la clef. Le plus rapide à trouver une solution gagnera: un Samsung Galaxy S4 LTE 16 GB Les conditions de participation sont les suivantes: - Suivre la formation. - La première personne à remplir l’objectif indiqué par le formateur au début du défi remporte le prix. - Si aucun des participants n’est en mesure d’atteindre l’objectif à mi-parcours, le formateur donnera des indices à tous les participants, en même temps. - Si à l’issu du défi, personne n’a été en mesure d’atteindre l’objectif, la personne s’en approchant le plus ou avec la meilleure solution reporte le défi. Il n’y aura pas de tirage au sort. - Le formateur est seul juge. Aucune contestation ne sera admise, aucune correspondance ne sera échangée au sujet de ce défi. Le défi devrait en principe durer deux heures. Formateur: Sébastien Andrivet Sébastien est plongé dans le monde informatique depuis le début des années ’80. Après avoir passé quelques années avec les processeurs 8-bit et l’assembleur, il s’est spécialisé dans les années ’90 en C/C++ et en assembleur x86 sous Windows. Pendant les années Internet, il a participé à plusieurs startups et a publié des outils libres, en particulier un analyseur XML multi-plateformes écrit en C++. A cette époque, il a été confronté au piratage de logiciels, au monde des “buffer overflows” et des injections SQL. En 2002, il a basculé dans le domaine de la sécurité des applications et des sciences forensiques et a co-fondé la société ADVTOOLS à Genève. Sébastien est régulièrement invité comme conférencier lors d’évènements tels que Hack in Paris, Hashdays, APPD, etc. Il est également auteur pour le magazine MISC. Plus récemment, il s’est illustré lors de deux conférences où il a démontré d’une part la faiblesse de certains systèmes de gestion de mobiles (MDM) et d’autre part, les vulnérabilités de certains systèmes de vote électronique. Depuis septembre 2013, il a intégré un grand groupe de la région romande en tant que Security Expert, spécialisé dans le reverse engineering et les mobiles. E-mail: Twitter: [email protected] @AndrivetSeb