2005-06-06 - MediaPlaza- Mobiele applicaties en security policies

415 views
353 views

Published on

Keynote on a national congress regarding the security (threads and countremeasures) of Mobile Devices and the infrastructure supporting Mobile Devices.

Published in: Technology, News & Politics
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
415
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Focus op dat er veel bedrijfskritische gegevens in staan!
  • Al die gegevens stonden ook al in die filofax!
  • Verbindingsoorten onderscheide zich in bandbreedte, flexibiliteit en dekkingsgraad
  • 2005-06-06 - MediaPlaza- Mobiele applicaties en security policies

    1. 1. Security & mobile devices © 2005 CIBIT | SERC Jaap van Ekris Adviseur/Docent CIBIT|SERC Microsoft Most Valuable Professional Mobile Devices 2005
    2. 2. CIBIT|SERC <ul><li>Advies en opleidingen o.a.: </li></ul><ul><li>Information security (www.cibit.nl/security) </li></ul><ul><ul><li>11 Korte security cursussen </li></ul></ul><ul><ul><li>Masterclass (incl CBK Review Seminar) </li></ul></ul><ul><ul><li>CISSP examen </li></ul></ul><ul><ul><li>Jaarlijks drie seminars </li></ul></ul><ul><ul><li>Exclusieve partner van (ISC) 2 in NL </li></ul></ul><ul><li>Mobile application development ( www.cibit.nl/mobile ) </li></ul><ul><ul><li>Mobile essentials </li></ul></ul><ul><ul><li>Business Cases for mobile applications </li></ul></ul><ul><ul><li>Mobile scenario modeling and design </li></ul></ul><ul><ul><li>User interface design for mobile applications </li></ul></ul>© 2005 CIBIT | SERC
    3. 3. Agenda <ul><li>Wat is een mobiel device? </li></ul><ul><li>Waar maken we ons zo druk om? </li></ul><ul><li>De infrastructuur </li></ul><ul><li>De toekomst </li></ul>© 2005 CIBIT | SERC
    4. 4. Mobile devices: een introductie © 2005 CIBIT | SERC
    5. 5. Wat is een mobiel device? <ul><li>Compact </li></ul><ul><li>Veel geheugen </li></ul><ul><li>Relatief veel processorvermogen </li></ul><ul><li>Eenvoudige manier om gegevens mobiel mee te nemen en verwerken </li></ul><ul><li>Hebben een echt operating systeem aan boord </li></ul><ul><li>Hoog gadgetgehalte </li></ul><ul><li>Medewerkers schaffen ze vaak zelf aan! </li></ul>© 2005 CIBIT | SERC
    6. 6. De hoofdstromingen <ul><li>Microsoft (HP, Qtek, Imate…) </li></ul><ul><ul><li>Gebaseerd op de CE kernel </li></ul></ul><ul><ul><li>Werkt met .Net technologie </li></ul></ul><ul><ul><li>Minimale On device security </li></ul></ul><ul><li>Symbian (Nokia, SonyEricsson) </li></ul><ul><ul><li>Symbian kernel, vendor specifieke implementatie </li></ul></ul><ul><ul><li>Werkt op Java </li></ul></ul><ul><ul><li>Geen on-device security </li></ul></ul><ul><li>RIM Blackberry </li></ul><ul><ul><li>Volledig eigen product </li></ul></ul><ul><ul><li>Werkt op Java </li></ul></ul><ul><ul><li>Geen on-device security </li></ul></ul>© 2005 CIBIT | SERC
    7. 7. Top 10 uitval PDA’s/GSM’s <ul><li>Op de grond laten vallen </li></ul><ul><li>Kapotgedrukt in te strakke kleding </li></ul><ul><li>Gebruik in de regen </li></ul><ul><li>Woedend op de grond gegooid </li></ul><ul><li>Huisdier of een kind </li></ul><ul><li>In het toilet laten vallen </li></ul><ul><li>In de zee laten vallen </li></ul><ul><li>Laten liggen op het dak van de auto </li></ul><ul><li>Transpiratie tijdens een training </li></ul><ul><li>In de sneeuw laten vallen </li></ul>© 2005 CIBIT | SERC Bron: Siemens Mobile
    8. 8. Verlies van PDA’s/GSM’s <ul><li>40% van de mensen is wel eens een GSM kwijt geraakt </li></ul><ul><li>25% is wel eens een laptop/PDA kwijtgeraakt </li></ul><ul><li>Waar worden die spullen verloren? </li></ul><ul><ul><li>40% in de taxi </li></ul></ul><ul><ul><li>20% in een restaurant/cafe </li></ul></ul>© 2005 CIBIT | SERC Bron: Pointsec security
    9. 9. Maakt het management zich er druk om? <ul><li>60% van de top managers geeft aan dat hun bedrijf geschaad wordt bij verlies van een PDA of GSM. </li></ul><ul><li>Niet vanwege het dataverlies maar vanwege het potentieel lekken van informatie naar concurrentie </li></ul>© 2005 CIBIT | SERC Bron: Pointsec security
    10. 10. Wat staat er op een PDA? <ul><li>Afspraken 85% </li></ul><ul><li>Adresgegevens 80% </li></ul><ul><li>Verslaglegging/aantekeningen 75% </li></ul><ul><li>Creditcardgegevens 40% </li></ul><ul><li>Documenten/spreadsheets 35% </li></ul><ul><li>Wachtwoorden/PIN codes 33% </li></ul><ul><li>E-mail 32% </li></ul><ul><li>Bankgegevens 25% </li></ul><ul><li>Zakelijke analyses 25% </li></ul>© 2005 CIBIT | SERC Bron: Pointsec security
    11. 11. Beveiliging? <ul><li>60% van de bedrijven kent geen security policy voor PDA’s en GSM’s 1 </li></ul><ul><li>75% van de gebruikers heeft geen enkele beveiliging op zijn device 2 </li></ul>© 2005 CIBIT | SERC 1: Bron: Pointsec security 2: Bron: TNS NFO
    12. 12. Niets nieuws onder de zon… © 2005 CIBIT | SERC
    13. 13. Ontsluiting van gegevens via USB © 2005 CIBIT | SERC <ul><li>Directe overdracht </li></ul><ul><li>Synchronisatie PIM: </li></ul><ul><ul><li>Afspraken </li></ul></ul><ul><ul><li>Contacten </li></ul></ul><ul><ul><li>Taken </li></ul></ul><ul><ul><li>Notities </li></ul></ul><ul><li>Filetransfer </li></ul>
    14. 14. We kunnen veel meer meenemen…. © 2005 CIBIT | SERC GB (Solid State) Bij veel organisaties past alle bedrijfsinformatie nu al op éé n Ipod!
    15. 15. Nieuwe soort applicaties <ul><li>Een mobiel verlengstuk van kritieke bedrijfssystemen </li></ul><ul><li>Rechtstreekse ontsluiting </li></ul><ul><li>Authenticatie grotendeels op device zelf </li></ul><ul><li>Voorbeelden: </li></ul><ul><ul><li>Electronisch Patientdossier </li></ul></ul><ul><ul><li>CRM applicaties </li></ul></ul><ul><ul><li>Orderadministratie </li></ul></ul>© 2005 CIBIT | SERC
    16. 16. Connectiviteit… © 2005 CIBIT | SERC
    17. 17. Draadloze netwerken © 2005 CIBIT | SERC Bereik Bandbreedte 20 m 100 m 0,5 m Landelijk WLAN GPRS GSM Bluetooth IR UMTS
    18. 18. Ontsluiting van gegevens via bluetooth © 2005 CIBIT | SERC <ul><li>Personal Area Network </li></ul><ul><li>Kan elke soort kabel vervangen </li></ul><ul><li>Synchronisatie PIM </li></ul><ul><li>Directe toegang tot contacts, agenda, files en modem </li></ul><ul><li>Kan zich verbergen </li></ul><ul><li>Kan authenticatie eisen </li></ul><ul><li>Kan encryptie gebruiken </li></ul><ul><li>ALTIJD kwetsbaar voor*: </li></ul><ul><ul><li>Eavesdropping </li></ul></ul><ul><ul><li>Man-in-the-middle attack </li></ul></ul>*Zie: http://www.newscientist.com/article.ns?id=dn7461
    19. 19. Bluetooth in de praktijk… <ul><li>staat vaak geheel open </li></ul>© 2005 CIBIT | SERC
    20. 20. Ontsluiting van gegevens via WiFi © 2005 CIBIT | SERC Exchange Lotus Notes Groupwise CRM applicatie Ordersysteem
    21. 21. Eigenschappen <ul><li>Bedrijfsdekkend netwerk (LAN) </li></ul><ul><li>WiFi verbinding kan encrypted worden </li></ul><ul><li>Device-beveiliging haalt het niet bij laptops </li></ul><ul><li>Na de wireless verbinding reist de data onversleuteld verder </li></ul><ul><li>Synchronisatie kan end-to-end versleuteld worden </li></ul><ul><li>Access points kunnen hostile zijn </li></ul><ul><li>Devices zijn kwetsbaar voor aanvallen vanuit een netwerk* </li></ul><ul><li>Authenticatie staat vaak als parameter op device </li></ul>© 2005 CIBIT | SERC *Zie: http://www.cs.nmt.edu/~cs553/paper3.pdf
    22. 22. Ontsluiting van gegevens via GPRS/EDGE/UMTS © 2005 CIBIT | SERC Exchange Lotus Notes Groupwise CRM applicatie Ordersysteem Grote Boze Internet
    23. 23. Eigenschappen <ul><li>Werelddekkend netwerk (WAN) </li></ul><ul><li>Zeker geen 100% dekking </li></ul><ul><li>Devices zijn kwetsbaar voor aanvallen vanuit het host-netwerk </li></ul><ul><li>Credentials staan vaak op het device </li></ul><ul><li>Verbinding loopt grotendeels onbeschermd over het internet </li></ul><ul><li>De synchronisatie kan end-to-end versleuteld worden, maar is optioneel </li></ul>© 2005 CIBIT | SERC
    24. 24. Wat doet de markt? <ul><li>Biometrische hardware is beschikbaar </li></ul><ul><li>De eerste management suites zijn beschikbaar, inclusief remote self-destruct command </li></ul><ul><li>De eerste mobiele viruskillers en firewalls zijn er </li></ul><ul><li>Helaas ook de eerste virussen </li></ul>© 2005 CIBIT | SERC
    25. 25. Wat doen de OS leveranciers? <ul><li>(On-device) security is een aandachtspunt bij alle OS leveranciers: </li></ul><ul><li>Symbian V9.0 (3 kwartaal 2005)is een grote stap: </li></ul><ul><ul><li>Containers om applicaties heen </li></ul></ul><ul><ul><li>Application signing </li></ul></ul><ul><li>Microsoft Windows Mobile 5 (2e kwartaal 2005): </li></ul><ul><ul><li>Integrated remote policies, </li></ul></ul><ul><ul><li>remote wipe/data destruct </li></ul></ul><ul><ul><li>Certificate based authentication </li></ul></ul>© 2005 CIBIT | SERC
    26. 26. Kortom <ul><li>Mobiliteit komt, of je het wilt of niet </li></ul><ul><li>Mobiliteit kan niet zonder na te denken over security </li></ul><ul><li>We kunnen het niet overlaten aan de individuele gebruiker </li></ul><ul><li>2005 wordt een heel belangrijk jaar voor mobile security </li></ul>© 2005 CIBIT | SERC

    ×