Voxxed Days: programming ways to face new attacks

Voxxed Days Ticino - G.Paternò

Voxxed Days Ticino - G.Paternò

Remote APIs

Le Remote APIs sono il pane quotidiano per i partecipanti al Voxxed days. Esse permettono ad una serie di strumenti, di sviluppo e non, di esporre funzionalità di vario genere che possono dare accesso a dati. Di solito hanno un sistema di autenticazione soggetto anch’esso a possibili attacchi o comunque espongono la possibilità di ricevere richieste (input) che quindi devono essere validati. Le tecniche per proteggersi sono principalmente:

  • Input Validation
  • Assign class/capabilities to API endpoint
  • Restrict source IP/Network access (anche tramite FW)
  • APIs request throttling (DDoS prevention)
  • Do not expose information in URLs (Proxy logs…)
  • Encrypt transport and payload
  • OAuth 2.0 protocol (Giuseppe lo odia)

In questo caso vengono incontro le SecurePass APIs o gli strumenti di Mandatory Access Control come SE_Linux.

SE-Linux può fare da contenimento per il Discretionary Access Control ed isolare gli API endpoint e i processi sui vari server, dando inoltre un alert in caso di tentativo di violazione dei limiti imposti.

Mobile Applications

Al Voxxed days del Ticino è stato dato grande spazio alle Mobile Applications. Questo mondo ha e crea diversi problemi di sicurezza. La gestione degli accessi via internet spesso non criptati e le abilitazioni ai dati personali sul mobile possono essere un problema. Ma soprattutto i dispositivi mobili possono essere sottratto e smarriti più facilmente, esponendo le credenziali salvate sul dispositivo. Queste sono secondo Gippa le cose a cui prestare attenzione:

  • Authenticate User (2FA must)
  • Request Device ID to backend
  • Keep track of device info (OS, name, …)
  • Generate unique ID for the mobile
  • Use Device ID for every request
  • Update last device ID timestamp
  • Re-challenge user auth if not used
  • Allow device deletion (lost/stolen)

Tutte queste procedure sono le stesse in essere per qualsiasi applicazione, ma integrate dal fatto che i device devono essere sicuramente identificati e remotamente bloccabili/cancellabili. Personalmente avrei aggiunto qualche utile indicazione sui software di gestione remota e configurazione dei mobiles sia come BYOD che come asset aziendali.

Share Us

PinIt

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.