Testes de penetração em redes móveis e computação em nuvem: uma abordagem prática

Abstract

Aplicações móveis orientadas a serviços estão cada vez mais presentes nas tarefas cotidianas das pessoas e processos administrativos das organizações. A evolução da computação em nuvem e a velocidade de conexão de internet banda larga colaboraram para este cenário. Neste sentido, as ameaças/vulnerabilidades para este tipo de aplicação passaram a fazer parte da preocupação das organizações. Neste contexto, o presente trabalho tem como objetivo conduzir um experimento sobre um teste de penetração em uma aplicação móvel orientada a serviços que é hospedada em um ambiente de computação em nuvem. O experimento é composto por uma aplicação móvel que utiliza um serviço RESTful para comunicação com o servidor. O teste de penetração segue o padrão PTES, que é internacionalmente adotado no mercado de cibersegurança. Os testes são conduzidos com testes manuais e com auxílio de ferramentas automatizadas. Ao final é apresentado um relatório das ameaças encontradas que será baseado na metodologia OWASP. Para realizar este estudo, foram usados os métodos de pesquisa de revisão bibliográfica e experimentação. Em sua base teórica foram apresentados conceitos a respeito de Computação em Nuvem, Computação Orientada a Serviços no contexto de aplicações, Cyber Segurança para dispositivos móveis, relatórios e padrões disponibilizados pela OWASP e testes de penetração com seus conceitos, metodologias e ferramentas. Esperase que o resultado dos experimentos possa fomentar novos estudos a respeito de testes de penetração para aplicações móveis que utilizam comunicação orientada a serviços e apoiar profissionais da área de cibersegurança.

Service-oriented mobile applications are increasingly present in the daily tasks of people and administrative processes of organizations. The evolution of computing and cloud and the speed of broadband internet connection contributed to this scenario. In this sense, the threats/vulnerabilities for this type of application have become part of the concern of organizations. In this context, the present work aims to conduct an experiment on a penetration test of a service-oriented mobile application that is hosted in a cloud computing environment. The experiment consists of a mobile application that uses a RESTful service to communicate with the server. Penetration testing follows the PTES standard, which is internationally adopted in the cybersecurity market. Tests are conducted with manual tests and with the help of automated tools. At the end, a report of the threats found is presented, which will be based on the OWASP methodology. To carry out this study, the research methods of literature review and experimentation were used. In its theoretical basis, concepts about Cloud Computing, Service Oriented Computing in the context of applications, Cyber Security for mobile devices, reports and standards provided by OWASP and penetration tests with its concepts, methodologies and tools were presented. It is hoped that the results of the experiments can foster further studies regarding penetration tests for mobile applications that use serviceoriented communication and support cybersecurity professionals.