Preguntas y respuestas: ¿Cómo es ser un probador de lápiz de aplicaciones móviles?

Debido a que NowSecure se fundó como una empresa forense de aplicaciones móviles hace una década, las pruebas de penetración están integradas en nuestro ADN. Probamos miles de aplicaciones de Android e iOS en nombre de nuestros clientes, descubrimos algunas vulnerabilidades aterradoras y ayudamos a los clientes a mejorar la seguridad de sus aplicaciones móviles.

La siguiente es la tercera entrega de una serie de entrevistas de preguntas y respuestas ocasionales para resaltar las funciones y responsabilidades clave de los apasionados miembros del equipo de NowSecure que se mantienen al tanto de los últimos vectores de amenazas a través de investigaciones líderes en la industria, patrocinio de código abierto y exploración continua de riesgos y vulnerabilidades móviles. . En esta discusión, destacamos a Rono Dasgupta, un analista de seguridad móvil del equipo de servicios de NowSecure y veterano probador de bolígrafos de caja negra.

P: ¿Cuánto tiempo lleva con NowSecure?
R: Dos años y medio, incluida mi pasantía mientras obtenía mi maestría en informática de seguridad en Johns Hopkins.

P: ¿Por qué te uniste a la empresa?
R: Tenía experiencia en seguridad web y criptografía y quería diversificarme en un campo nuevo y emocionante. Encontré a NowSecure en una lista de los principales proveedores de seguridad móvil.

P: ¿Dónde está basado?
R: chicago

P: ¿Qué hace como analista de seguridad móvil?
R: Hago pruebas de penetración en las aplicaciones móviles y los backends de nuestros clientes para buscar vulnerabilidades de seguridad y ayudar a resolverlas. A veces, también hacemos pruebas de penetración en aplicaciones web y dispositivos conectados.

P: ¿Cómo es tu día típicamente?
R: Cada día es diferente. Durante las últimas dos semanas, he estado probando aplicaciones sin parar. Pruebo varias aplicaciones al día y también trabajo en el mantenimiento de proyectos paralelos (por ejemplo, análisis diferencial), mejoro nuestro proceso de pruebas de penetración y ayudo a otros en la empresa. Finalmente, participo en nuestro grupo de trabajo con servicios, ingeniería e investigación y pruebo nuevas funciones/problemas de depuración en nuestros productos.

Priorizo ​​las tareas en función de los plazos de nuestros clientes, así como de los ciclos internos. Siempre nos enfocamos en obtener resultados de alta calidad para el cliente lo antes posible.

P: ¿En qué estás trabajando hoy?
R: Hoy tengo que probar dos aplicaciones financieras importantes: una aplicación bancaria importante en Android e iOS y otra aplicación financiera. También estoy ayudando a mi colega Michael Krueger a encontrar errores en la nueva herramienta de redacción de informes que creó para nuestro equipo. También tengo que verificar el estado de nuestras últimas ejecuciones de análisis diferencial y resolver cualquier problema.

P: Por lo general, ¿cuánto tiempo se tarda en realizar una prueba de penetración de una aplicación móvil?
R: Depende. Las aplicaciones complejas requieren que el cliente nos proporcione las credenciales necesarias y la información de arquitectura/aplicación. Si todo funciona según lo previsto, una prueba de penetración basada en los servicios de NowSecure generalmente se completa en unos pocos días o aproximadamente una semana aprovechando nuestra experiencia, el software NowSecure y una variedad de herramientas.

P: ¿Cómo atacas una aplicación móvil?
R: El equipo de servicios utiliza NowSecure Workstation, una increíble herramienta forense/de redes/de ingeniería inversa que nos permite realizar análisis estáticos, dinámicos y de comportamiento desde un solo producto. La herramienta basada en GUI ayuda al evaluador a realizar una prueba de seguridad utilizando un enfoque organizado y confiable. Mi enfoque de prueba personal es buscar puntos de entrada, en cualquier lugar donde se introduzca la entrada del usuario. Luego observo cómo la aplicación y sus servidores procesan esos datos.

Para aplicar ingeniería inversa a la aplicación, desensamblo/descompilo el ejecutable de la aplicación y sus bibliotecas y examino el ensamblado/pseudocódigo. Utilizo herramientas de código abierto creadas por el equipo de investigación de NowSecure, como Radare2 para desensamblar y parchear aplicaciones y Frida para eludir las protecciones de aplicaciones y las aplicaciones de instrumentos.

P: ¿Qué otras herramientas te gustan?
R: No podríamos hacer muchas de nuestras pruebas de red/back-end sin proxies como Suite de eructos y mitmproxy. Para Android, me gusta apktool, que es un decompilador. yo también uso Tolva, AIF Pro, drozer y Aguja de vez en cuando.

P: ¿Cómo colaboras con tus compañeros de equipo?
R: Cuando un cliente nos envía un binario para probar, generalmente es una aplicación de Android o una aplicación de iOS. A veces, también tiene dispositivos IoT incluidos con estas evaluaciones. Dividimos el trabajo dentro del equipo para centrarnos en áreas específicas, como pruebas de red y back-end, análisis forense, ingeniería inversa. La colaboración también es importante porque necesita que alguien coteje sus hallazgos.

P: ¿Qué habilidades hacen que un pen tester de aplicaciones móviles tenga éxito?
R: Determinación y atención a los detalles: probar aplicaciones puede ser un proceso largo y tedioso. Debe tener una amplia gama de habilidades en áreas como la seguridad de la información y la informática. Debe comprender cómo funcionan los sistemas y cómo se comunican entre sí y dónde y cómo se pueden introducir los riesgos. Y habilidades como el modelado de amenazas son vitales.

Los clientes nos envían sus binarios, no nos envían el código fuente. Por lo tanto, debe tener una mentalidad de «prueba de caja negra» para probar la aplicación desde la perspectiva de un atacante.

En términos de rasgos de personalidad, debe ser adaptable y multitarea. Ayuda si no necesitas dormir mucho (jk). La creatividad también es una gran ventaja.

P: ¿Cuál es un ejemplo de un desafío reciente que encontraste?
R: La semana pasada, tuvimos que probar una aplicación bancaria completamente funcional con muchas funciones y entregar un informe completo con un tiempo de respuesta de solo un día. El cliente cumplió con la fecha límite y nuestro equipo se unió para satisfacer sus necesidades. En NowSecure nos preocupamos por el trabajo en equipo y nos centramos en el cliente.

P: ¿Qué es lo que más te gusta de las pruebas de penetración?
R: Puedo probar aplicaciones reales y es divertido ver a mis amigos usar aplicaciones que he probado. También es divertido y desafiante probar cosas como dispositivos conectados o arquitecturas de autenticación complejas porque te encuentras con muchos problemas interesantes en los que no hubieras pensado de otra manera.

P: ¿Qué es lo que menos te gusta?
R: La falta de sueño.

P: ¿Cómo pueden entrar otros en el campo?
R: Como mencioné antes, necesitas una amplia variedad de habilidades. Comprender los sistemas distribuidos, las redes, la criptografía básica y poder leer/escribir código son requisitos previos. Aparte de eso, una comprensión fundamental de las vulnerabilidades de seguridad comunes y cómo resolverlas puede llevarte un largo camino (ver OWASP).

P: Finalmente. ¿Qué dispositivo móvil llevas?
R: Tengo un Apple iPhone XS. Antes era usuario de Google Pixel y fanático de Android desde hace mucho tiempo, ¡pero me encanta mi iPhone! También tengo un Apple Watch.

Para obtener más información sobre las prácticas de prueba de penetración móvil, consulte este seminario web grabado de Rono y el analista de seguridad móvil Tony Ramirez. Para conocer los roles de otras personas que hacen que NowSecure funcione, consulte nuestras entrevistas con Jeff Fairman, vicepresidente senior de productos e ingeniería; y Francesco Tamagni, investigador senior de seguridad móvil. Y finalmente, obtenga asistencia experta con pruebas de penetración, evaluaciones de seguridad de aplicaciones móviles y consultoría comunicándose con nuestro equipo de servicios.

Deja un comentario