-
-
Notifications
You must be signed in to change notification settings - Fork 443
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
* Greek Translation * Greek Translation modified metadata.md * Greek Translation modified metadata.md-retry * Update Document-gr/0x01-Foreword.md * Apply suggestions from code review Co-authored-by: Panagiotis Yialouris <panagiotis@pymc.local> Co-authored-by: Carlos Holguera <perezholguera@gmail.com>
- Loading branch information
1 parent
eb7121c
commit f6e2202
Showing
31 changed files
with
972 additions
and
0 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,26 @@ | ||
# Πρόλογος | ||
|
||
Οι τεχνολογικές επαναστάσεις μπορούν να συμβούν γρήγορα. Λιγότερο από μια δεκαετία πριν, τα smartphones ήταν αδέξιες συσκευές με μικρά πληκτρολόγια - ακριβά παιχνίδια για γκατζετάκιδες εργαζόμενους σε επιχειρήσεις. Σήμερα, τα smartphones είναι ένα ουσιαστικό μέρος της ζωής μας. Εξαρτόμαστε από αυτό για πληροφόρηση, πλοήγηση και επικοινωνία, και είναι παντού στην εργασία καθώς και στη προσωπική μας ζωή. | ||
|
||
Κάθε νέα τεχνολογία εισάγει νέους κινδύνους για την ασφάλεια και η παρακολούθηση αυτών των αλλαγών είναι μία από τις κυριότερες προκλήσεις που αντιμετωπίζει ο κλάδος της Ασφάλειας. Η αμυντική πλευρά είναι πάντα λίγα βήματα πίσω. Για παράδειγμα, το αυτόματο αντανακλαστικό για πολλούς ήταν να εφαρμόσουν παλιούς τρόπους σχετικά με το πως χειρίζεσαι τα πράγματα: τα smartphone είναι σαν μικρούς υπολογιστές και οι mobile εφαρμογές είναι ακριβώς όπως το κλασικό λογισμικό, οπότε είναι σίγουρα οι απαιτήσεις ασφαλείας παρόμοιες; Όμως δεν λειτουργεί έτσι. Τα λειτουργικά συστήματα για smartphone διαφέρουν από τα λειτουργικά συστήματα για κλασικούς υπολογιστές και οι mobile εφαρμογές διαφέρουν από τις web εφαρμογές. Για παράδειγμα, η κλασική μέθοδος σάρωσης-ανίχνευσης ιών που βασίζεται σε υπογραφές δεν έχει νόημα σε σύγχρονα περιβάλλοντα λειτουργικού συστήματος για κινητά: Όχι μόνο δεν είναι συμβατή με το μοντέλο διανομής εφαρμογών για κινητά, αλλά είναι επίσης τεχνικά αδύνατη λόγω περιορισμών στο sandboxing. Επίσης, ορισμένες κατηγορίες ευπαθειών, όπως buffer overflows και XSS, είναι λιγότερο σχετικές στο πλαίσιο των συνηθισμένων mobile εφαρμογών σε σύγκριση για παράδειγμα, με τις desktop και web εφαρμογές (ισχύουν εξαιρέσεις). | ||
|
||
Με την πάροδο του χρόνου, ο κλάδος μας έχει καταλάβει καλύτερα το τοπίο απειλών για κινητά. Όπως αποδεικνύεται, η ασφάλεια των κινητών έχει να κάνει με την προστασία δεδομένων: Οι εφαρμογές αποθηκεύουν τις προσωπικές μας πληροφορίες, φωτογραφίες, ηχογραφήσεις, σημειώσεις, δεδομένα λογαριασμών, επιχειρησιακές πληροφορίες, τοποθεσία και πολλά άλλα. Λειτουργούν ως clients που μας συνδέουν με υπηρεσίες που χρησιμοποιούμε σε καθημερινή βάση και ως κόμβοι επικοινωνίας που επεξεργάζονται κάθε μήνυμα που ανταλλάσσουμε με άλλους. Υποκλέψτε το smartphone ενός ατόμου, και θα έχετε αφιλτράριστη πρόσβαση στη ζωή αυτού του ατόμου. Αν σκεφτούμε ότι οι κινητές συσκευές χάνονται ή κλέβονται πιο εύκολα και ότι το κακόβουλο λογισμικό για κινητά αυξάνεται, η ανάγκη για προστασία δεδομένων γίνεται ακόμη πιο εμφανής. | ||
|
||
Ένα πρότυπο ασφαλείας για mobile εφαρμογές πρέπει επομένως να επικεντρώνεται στον τρόπο με τον οποίο οι εφαρμογές αυτές χειρίζονται, αποθηκεύουν και προστατεύουν ευαίσθητες πληροφορίες. Παρόλο που τα σύγχρονα λειτουργικά συστήματα για κινητά όπως το iOS και το Android προσφέρουν καλά APIs για ασφαλή αποθήκευση και επικοινωνία δεδομένων, αυτά πρέπει να εφαρμοστούν και να χρησιμοποιηθούν σωστά για να είναι αποτελεσματικά. Η αποθήκευση δεδομένων, η επικοινωνία μεταξύ εφαρμογών, η σωστή χρήση κρυπτογραφικών APIs και η ασφαλής επικοινωνία δικτύου είναι μόνο μερικές από τις πτυχές που απαιτούν προσεκτική εξέταση. | ||
|
||
Ένα σημαντικό ερώτημα που χρειάζεται συναίνεση του κλάδου είναι πόσο μακριά πρέπει να φτάσει κάποιος για την προστασία της εμπιστευτικότητας και της ακεραιότητας των δεδομένων. Για παράδειγμα, οι περισσότεροι από εμάς θα συμφωνούσαν ότι μια εφαρμογή για κινητά θα πρέπει να επαληθεύει το πιστοποιητικό του server σε μια επικοινωνία TLS. Τι γίνεται όμως με το pinning του πιστοποιητικού SSL; Αν δεν το κάνετε αυτό οδηγεί σε ευπάθεια; Θα πρέπει αυτό να είναι απαίτηση εάν μια εφαρμογή χειρίζεται ευαίσθητα δεδομένα ή είναι ίσως ακόμη και αντιπαραγωγικό; Χρειάζεται να κρυπτογραφήσουμε δεδομένα που είναι αποθηκευμένα σε βάσεις δεδομένων SQLite, παρόλο που το λειτουργικό σύστημα περικλείει την εφαρμογή; Αυτό που είναι κατάλληλο για μια εφαρμογή μπορεί να είναι μη ρεαλιστικό για μια άλλη. Το MASVS είναι μια προσπάθεια τυποποίησης αυτών των απαιτήσεων χρησιμοποιώντας επίπεδα επαλήθευσης που ταιριάζουν σε διαφορετικά σενάρια απειλών. | ||
|
||
Επιπλέον, η εμφάνιση κακόβουλου λογισμικού σε επίπεδο root, και εργαλείων απομακρυσμένης διαχείρισης έχει δημιουργήσει επίγνωση του γεγονότος ότι τα ίδια τα λειτουργικά συστήματα κινητών έχουν εκμεταλλεύσιμα ελαττώματα, επομένως οι στρατηγικές χρήσης container χρησιμοποιούνται ολοένα και περισσότερο για την παροχή πρόσθετης προστασίας σε ευαίσθητα δεδομένα και την αποτροπή παραβίασης από την πλευρά του client. Εδώ είναι που τα πράγματα περιπλέκονται. Υπάρχουν δυνατότητες ασφαλείας που υποστηρίζονται από υλικό και λύσεις container σε επίπεδο λειτουργικού συστήματος, όπως το Android for Work και το Samsung Knox, αλλά δεν είναι σταθερά διαθέσιμες σε διαφορετικές συσκευές. Ως ενίσχυση, είναι δυνατή η εφαρμογή μέτρων προστασίας που βασίζονται σε λογισμικό - αλλά δυστυχώς, δεν υπάρχουν πρότυπα ή διαδικασίες test για την επαλήθευση αυτού του είδους προστασίας. | ||
|
||
Ως αποτέλεσμα, αναφορές από τεστ ασφαλείας mobile εφαρμογών είναι παντού: Για παράδειγμα, ορισμένοι αναφέρουν την έλλειψη obfuscation ή εντοπισμού root σε μια εφαρμογή Android ως "ελάττωμα ασφαλείας". Από την άλλη πλευρά, μέτρα όπως η κρυπτογράφηση τιμών, ο εντοπισμός του debugger, ή το control flow obfuscation δεν θεωρούνται υποχρεωτικά. Ωστόσο, αυτός ο δυαδικός τρόπος εξέτασης των πραγμάτων δεν βγάζει νόημα, επειδή η ανθεκτικότητα δεν είναι μια δυαδική πρόταση: Εξαρτάται από τις συγκεκριμένες απειλές από την πλευρά του client από τις οποίες στοχεύει κανείς να αμυνθεί. Οι προστασίες λογισμικού δεν είναι άχρηστες, αλλά μπορούν τελικά να παρακαμφθούν, επομένως δεν πρέπει ποτέ να χρησιμοποιούνται ως αντικατάσταση των μηχανισμών ασφαλείας. | ||
|
||
Ο γενικός στόχος του MASVS είναι να προσφέρει μια βάση για την ασφάλεια mobile εφαρμογών (MASVS-L1), επιτρέποντας επίσης τη συμπερίληψη μέτρων άμυνας σε βάθος (MASVS-L2) και προστασίας έναντι απειλών από την πλευρά του client (MASVS-R). Το MASVS προορίζεται να επιτύχει τα ακόλουθα: | ||
|
||
- Παροχή απαιτήσεων (requirements) για Software Architects και προγραμματιστές που επιδιώκουν να αναπτύξουν ασφαλείς mobile εφαρμογές. | ||
- Η συνεισφορά ενός προτύπου που να μπορεί να τεσταριστεί στα πλαίσια μια αξιολόγησης ασφάλειας mobile εφαρμογής. | ||
- Αποσαφήνιση του ρόλου των μηχανισμών προστασίας λογισμικού στην ασφάλεια κινητών και παροχή απαιτήσεων για την επαλήθευση της αποτελεσματικότητάς τους. | ||
- Παροχή συγκεκριμένων συστάσεων σχετικά με το επίπεδο ασφάλειας που συνιστάται για διαφορετικές περιπτώσεις χρήσης. | ||
|
||
Γνωρίζουμε ότι είναι αδύνατο να επιτευχθεί 100% συναίνεση του κλάδου. Ωστόσο, ελπίζουμε ότι το MASVS είναι χρήσιμο για την παροχή καθοδήγησης σε όλες τις φάσεις ανάπτυξης και δοκιμής mobile εφαρμογών. Ως πρότυπο ανοιχτού κώδικα, το MASVS θα εξελίσσεται με την πάροδο του χρόνου και καλωσορίζουμε κάθε συνεισφορά και πρόταση. | ||
|
||
Από τον Bernhard Mueller |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,52 @@ | ||
# Σχετικά με το Πρότυπο | ||
|
||
![OWASP Logo](images/OWASP_logo.png) | ||
|
||
Καλώς ήρθατε στο Μοbile Application Security Verification Standard (MASVS). Το MASVS είναι μια προσπάθεια της κοινότητας για τη δημιουργία ενός πλαισίου απαιτήσεων ασφαλείας που απαιτούνται για το σχεδιασμό, την ανάπτυξη και τη δοκιμή ασφαλών mobile εφαρμογών σε iOS και Android. | ||
|
||
Το MASVS είναι το επιστέγασμα της προσπάθειας της κοινότητας και του feedback από το κλάδο. Αναμένουμε ότι αυτό το πρότυπο θα εξελιχθεί με την πάροδο του χρόνου και καλωσορίζουμε τα σχόλια από την κοινότητα. | ||
|
||
Ο καλύτερος τρόπος για να έρθετε σε επαφή μαζί μας είναι μέσω του καναλιού OWASP Mobile Project Slack: <https://owasp.slack.com/messages/project-mobile_omtg/details/> . | ||
|
||
Λογαριασμοί μπορούν να δημιουργηθούν σε παρακάτω URL: [https://owasp.slack.com/join/shared_invite/zt-g398htpy-AZ40HOM1WUOZguJKbblqkw#/](https://owasp.slack.com/join/shared_invite/zt-g398htpy-AZ40HOM1WUOZguJKbblqkw#/). | ||
|
||
## Πνευματικά Δικαιώματα και Άδεια Χρήσης | ||
|
||
[![Creative Commons License](images/CC-license.png)](https://creativecommons.org/licenses/by-sa/4.0/) | ||
|
||
Copyright © 2021 The OWASP Foundation. Η προσπάθεια αυτή υπόκειται στην ακόλουθη άδεια [Creative Commons Attribution-ShareAlike 4.0 International License](https://creativecommons.org/licenses/by-sa/4.0/). Για οποιαδήποτε επαναχρησιμοποίηση ή διανομή, πρέπει να καταστήσετε σαφή στους άλλους τους όρους/άδειας χρήσης αυτού του έργου. | ||
|
||
<!-- \pagebreak --> | ||
|
||
## Ευχαριστίες | ||
|
||
| Επικεφαλής Έργου | Επικεφαλής Συγγραφέας | Συντελεστές και Κριτές | ||
| ------- | --- | ----------------- | | ||
| Sven Schleier and Carlos Holguera | Bernhard Mueller, Sven Schleier, Jeroen Willemsen and Carlos Holguera | Alexander Antukh, Mesheryakov Aleksey, Elderov Ali, Bachevsky Artem, Jeroen Beckers, Jon-Anthoney de Boer, Damien Clochard, Ben Cheney, Will Chilcutt, Stephen Corbiaux, Manuel Delgado, Ratchenko Denis, Ryan Dewhurst, @empty_jack, Ben Gardiner, Anton Glezman, Josh Grossman, Sjoerd Langkemper, Vinícius Henrique Marangoni, Martin Marsicano, Roberto Martelloni, @PierrickV, Julia Potapenko, Andrew Orobator, Mehrad Rafii, Javier Ruiz, Abhinav Sejpal, Stefaan Seys, Yogesh Sharma, Prabhant Singh, Nikhil Soni, Anant Shrivastava, Francesco Stillavato, Abdessamad Temmar, Pauchard Thomas, Lukasz Wierzbicki | | ||
|
||
<br/> | ||
|
||
| Γλώσσα | Μεταφραστές & Κριτές | | ||
| --------------- | ------------------------------------------------------------ | | ||
| Brazilian Portuguese | Mateus Polastro, Humberto Junior, Rodrigo Araujo, Maurício Ariza, Fernando Galves | | ||
| Chinese (Traditonal) | Peter Chi, Lex Chien, Henry Hu, Leo Wang | | ||
| Chinese (Simplified) | Bob Peng, Harold Zang, Jack S | | ||
| French | Romuald Szkudlarek, Abderrahmane Aftahi, Christian Dong (Review) | | ||
| German | Rocco Gränitz, Sven Schleier (Review) | | ||
| Hindi | Mukesh Sharma, Ritesh Kumar, Kunwar Atul Singh, Parag Dave, Devendra Kumar Sinha, Vikrant Shah | | ||
| Japanese | Koki Takeyama, Riotaro Okada (Review) | | ||
| Korean | Youngjae Jeon, Jeongwon Cho, Jiyou Han, Jiyeon Sung | | ||
| Persian | Hamed Salimian, Ramin Atefinia, Dorna Azhirak, Bardiya Akbari, Mahsa Omidvar, Alireza Mazhari, Milad Khoshdel | | ||
| Portuguese | Ana Filipa Mota, Fernando Nogueira, Filipa Gomes, Luis Fontes, Sónia Dias| | ||
| Russian | Gall Maxim, Eugen Martynov, Chelnokov Vladislav (Review), Oprya Egor (Review), Tereshin Dmitry (Review) | | ||
| Spanish | Martin Marsicano, Carlos Holguera | | ||
|
||
Αυτό το έγγραφο ξεκίνησε σαν ένα fork του OWASP Application Security Verification Standard γραμμένο από το Jim Manico. | ||
|
||
### Δωρεές | ||
|
||
Ενώ τόσο το MASVS όσο και το MSTG δημιουργούνται και διατηρούνται από την κοινότητα σε εθελοντική βάση, μερικές φορές απαιτείται λίγη εξωτερική βοήθεια. Ως εκ τούτου, ευχαριστούμε τους δωρητές μας που παρείχαν τα κεφάλαια για να μπορέσουμε να προσλάβουμε τεχνικούς συντάκτες. Να σημειωθεί ότι η δωρεά τους δεν επηρεάζει με κανέναν τρόπο το περιεχόμενο του MASVS ή του MSTG. Τα πακέτα από δωρεές περιγράφονται στο [OWASP Project Wiki](https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide#tab=Sponsorship_Packages "OWASP Mobile Security Testing Guide Donation Packages"). | ||
|
||
![OWASP MSTG](images/Donators/donators.png) | ||
|
||
Θα θέλαμε να ευχαριστήσουμε όσου αγόρασαν το βιβλίο από το [Leanpub](https://leanpub.com/mobile-security-testing-guide) και μας στήριξαν με αυτό το τρόπο. |
Oops, something went wrong.