如何让暴风雨过后的北京再添色彩?6月27日,51CTO MDSA第四期线下公开课在北京黄苑大酒店三层会议厅火爆开场,近百位移动互联网企业的APP开发者、测试工程师和安全技术爱好者参与了本次线下公开课。
在移动互联网时代,APP已经渗透到人们的日常生活,更是占据生活绝大部分的碎片化时间。而在近期,多个网站、APP客户端频频出现故障以及信息泄露问题,APP安全如同一把利剑,随时都有可能指向企业正常运转的命门。
与其在惊变后的茫然失措,不如在日常中加强安全意识和提升防御能力。也正如此,51CTO特别邀请了来自北京娜迦信息科技发展有限公司的CTO阎文斌(ID:玩命);乌云白帽子、高级安全研究员瘦蛟舞和百度云安全部资深安全专家郝轶,从APP安全方面的底层、硬件到方法,全面围绕着整个生命周期和案例全面分析,为大家带来一场移动APP开发安全防护的饕餮盛宴。
公开课下午两点正式开始,首先是娜迦CTO阎文斌老师(ID:玩命),为大家带来《Android软件保护技术》的主题分享。一开场就对APP安全问题给出了自己的观点,阎老师认为,目前软件保护的成本很高,碎片化的Android系统以及国内各种山寨的Adnroid系统导致使安全市场比较混乱。
紧接着阎老师分享了Android原生APP的保护方式—DIS的实现原理。
而ELF文件中的符号表,字符串表、哈希表、重定位表,是整个ELF文件中最核心的四个部分,表阎老师人为重定位表相对于其他来说更加重要。
同时,阎老师还分享了连接器的基本流程、TDK的原理、TDK加载器类、TDK壳入口的函数、此外TDK中一些给开发者使用的的变量也做了详细的分析。
最后更是对AOP安全代理技术和针对SO进行深层次开发的解读。
较为丰富的内容及精彩的剖析使之后的QA环节异常踊跃,开发者的热情高涨,剑锋对麦芒,提问不断,现场交锋异常激烈。
接下来是来自乌云白帽子的瘦瘦老师为大家带来《Droid APP Security Coding》的主题演讲。
瘦瘦老师一开始就表示Android系统对各种APP的访问设置了许多权限,但这些看起来很安全的权限实际上并非如此。
谷歌认为SD卡是公共区域,访问并不需要权限。但用户的使用习惯会经常将照片存放在SD卡中,因此,艳照门这类的事故发生在Android手机当中比苹果手机的概率会比较大。
瘦瘦老师还提示 在场的小伙伴在使用Github的时候不要把企业的私钥也传到网上,因为许多黑客会选择在网上收集一些信息对企业进行攻击。
接下来是瘦瘦老师对一些常见重要的漏洞进行分析。其中WEBVIEW漏洞是最常见危害也是最大的。还包括了一些国产手机厂商的一些漏洞,比如酷派的应用锁漏洞、乐phone的任意软件包安装删除漏洞等 ,而许多国产手机都存在这样的危险的漏洞,黑客在入侵时可以做到静默安装、删除、静默发短信等行为。
瘦瘦老师还分享了如何安全Coding的一些技巧和经验。他建议使用长期更新的第三方库/SDK/工具,在应初期的安全设计要注意—传输协议,数据加密、 签名校验。在开发规范方面要注意测试代码删除,最小权限原则、Dont copy without think、Owasp_Mobile_Security,以及如何规避系统漏洞。
最后是百度云安全部资深安全专家郝轶老师为大家带来《移动互联网时代下的安全开发生命周期》的分享。
郝老师一出场就自称安全界郭德纲,以幽默的演讲风格把安全这么严肃的话题逗笑全场,博得了满堂彩。郝老师一进入话题就抛出了一个根本性的问题—信息安全工程师需要解决什么?这一问题引起了小编身后几位小伙伴的讨论,然而郝老师的观点是:”考虑时间和成本,使系统达到安全质量要求。”
之后郝老师用大篇幅讲述了安全开发生命周期(SDL)的16个环节,包括其中重点的几个方面:
安全基线:确定安全和隐私质量 的最低可接受的级别;
风险评估:包括微 建模、隐私影响、模糊测试、基线提升、渗透模式、评审设计;
STRIDE:欺骗标识、权限提升、拒绝服务、信息泄露、决绝履约、串改数据。
做安全事件的第一原则:不保证安全事件不发生,需要做好事件应急响应的预案工作。
最后,郝轶老师总结出移动互联网时代下的安全周期的安全开发生命周期。
在郝老师分享过后,整场公开课进入了最后幸运抽奖的环节,通过四轮的抽取调查问卷,来到现场的同学之中有10个罗技无线鼠标,5个蓝牙音箱和3个3G无线路由器,在这个过程当中,郝老师还没有停止安全内容演讲,分别对抽取的调查问卷所填写的信息内容做了漏洞分析,幽默的的表达使得全场爆笑。按照惯例,51CTO还送出本次线下公开课的最终大奖,分别是2套雷蛇键鼠套装和价值1600的WOT2015移动互联网开发者大会电子门票3张。
MDSA线下公开课每月一期,力求为广大开发者解决移动开发各个环节中遇到的问题。也希望更多开发者关注51CTO,关注MDSA。 我们也将一如既往为广大开发者邀请业内最权威的讲师,分享最有价值的干货,希望更多的开发者不断加入MDSA的大家庭,下期见。
