Your SlideShare is downloading. ×
0
Bezpečnost na mobilních            zařízeníchpetr@inmite.eu           @joshis_tweets
Co je to bezpečnost?•   “Snaha minimalizovat dopady hrozeb”    •   Hrozba = situace, která mě může        poškodit    •   ...
Co je to bezpečnost?•   Málo pravděpodobné hrozby mají typicky    větší dopad    •   ztráta klíčeny PKI v situaci, kdy řek...
Autorizace                            SandboxingAutentizace              Bezpečnost                             Edukace už...
Mobilní zařízení jsou   nebezpečná    ... různě se povalují, a tak...
Dříve byl svět jednodušší      SIM Toolkit   Java ME
Mobilní telefon(krásný)
Tablet device(krásný)
Dell Streak(divný)
Asus EEEPad(nevyhraněný)
Internet do notebooku?(Co bude dál? Lékař jen na zuby?)
Autentizacea autorizace
Jak dokážu, že já jsem já?•   Prohlásím to - volný přístup•   Prokážu se znalostí - login/heslo•   Prokážu se vlastnictvím...
Autentizace a autorizace                 Bankovnictví                                                       Kdokoliv      ...
Mobilní zařízení jsou    anonymní ... nejsou jednoznačně identifikovatelná...
Problém•   Žádné IMEI, ICCID, ...    •   často není SIM karta, není API v SDK•   Žádná autorizace pomocí SMS    •   opět -...
Řešení•   Přiznat si, že zařízení je anonymní    •   ... chceme přeci ověřit uživatele...•   Proces personalizace instalac...
Autentizace a autorizace•   Tustý klient    •   Jednofaktorová: OAuth 1.0a (ne        OAuth 2.0!!!), XAuth, deriváty    • ...
Biometriky                 ... jsou nuda...... svá biometrická data trousíte kudy jdete...
Bezpečné úložiště dat
Bezpečné úložiště dat • Na mobilním zařízení není obecně možné     zajistit •   Varianta: Zabezpečená cache               ...
Sandboxing
Sandboxing•   Víte, co je ve vaší aplikaci a co mimo ní?    •   Data logovaná přes NSLog se ukládají        mimo sandbox  ...
Bezpečná komunikace
Bezpečná komunikace•   Používejte HTTPS•   Nespoléhejte na výchozí validaci SSL    certifikátu, jde-li vám o ochranu proti...
Edukace uživatelů
Edukace uživatelů•   Nedávejte vašim uživatelům falešný pocit    bezpečí•   Upozorňujte je na možná rizika používání    mo...
Děkujipetr@inmite.eu            @joshis_tweets
Upcoming SlideShare
Loading in...5
×

Bezpečnost na mobilních zařízeních

635

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
635
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Bezpečnost na mobilních zařízeních"

  1. 1. Bezpečnost na mobilních zařízeníchpetr@inmite.eu @joshis_tweets
  2. 2. Co je to bezpečnost?• “Snaha minimalizovat dopady hrozeb” • Hrozba = situace, která mě může poškodit • Dopad = peníze, které zaplatím, když se něco stane
  3. 3. Co je to bezpečnost?• Málo pravděpodobné hrozby mají typicky větší dopad • ztráta klíčeny PKI v situaci, kdy řeknete kamarádovi heslo do bankovnictví v hospodě
  4. 4. Autorizace SandboxingAutentizace Bezpečnost Edukace uživatelů Chráněné úložiště Bezpečná komunikace
  5. 5. Mobilní zařízení jsou nebezpečná ... různě se povalují, a tak...
  6. 6. Dříve byl svět jednodušší SIM Toolkit Java ME
  7. 7. Mobilní telefon(krásný)
  8. 8. Tablet device(krásný)
  9. 9. Dell Streak(divný)
  10. 10. Asus EEEPad(nevyhraněný)
  11. 11. Internet do notebooku?(Co bude dál? Lékař jen na zuby?)
  12. 12. Autentizacea autorizace
  13. 13. Jak dokážu, že já jsem já?• Prohlásím to - volný přístup• Prokážu se znalostí - login/heslo• Prokážu se vlastnictvím tokenu - certifikát• Token mě prokáže - SecurID, secure token, ...
  14. 14. Autentizace a autorizace Bankovnictví Kdokoliv kontakt• Autorizace = Určení historie toho, co můžu dělat• Různým úrovním platba autorizace mohou odpovídat různé úrovně autentizace Login/Heslo SMS kód, SecurID, ...
  15. 15. Mobilní zařízení jsou anonymní ... nejsou jednoznačně identifikovatelná...
  16. 16. Problém• Žádné IMEI, ICCID, ... • často není SIM karta, není API v SDK• Žádná autorizace pomocí SMS • opět - není SIM • ... nebo hůř - je SIM• Žádná USB klíčenka • není port pro USB
  17. 17. Řešení• Přiznat si, že zařízení je anonymní • ... chceme přeci ověřit uživatele...• Proces personalizace instalace • “ID zařízení” vs. “ID instalace” vs. “ID aktivace”• Jiná dvou-faktorová autentizace • SecurID • Secure Token s NFC
  18. 18. Autentizace a autorizace• Tustý klient • Jednofaktorová: OAuth 1.0a (ne OAuth 2.0!!!), XAuth, deriváty • Vícefaktorová: SecurID, gridkarta• Mobilní web: Jen pasivní operace• Neukládat hesla • iOS: Keychain se dá vykrást do 6 minut
  19. 19. Biometriky ... jsou nuda...... svá biometrická data trousíte kudy jdete...
  20. 20. Bezpečné úložiště dat
  21. 21. Bezpečné úložiště dat • Na mobilním zařízení není obecně možné zajistit • Varianta: Zabezpečená cache Vzdálená blokace • Data chráněná heslem do aplikace • Druhá komponenta - token ze serveru svázaný s heslem Blokuje server po N pokusech • Varianta: Heslem zabezpečený klíč • Náhodnost zamezuje použití brute-force
  22. 22. Sandboxing
  23. 23. Sandboxing• Víte, co je ve vaší aplikaci a co mimo ní? • Data logovaná přes NSLog se ukládají mimo sandbox • http://itunes.apple.com/us/app/ appswitch/id398317469?mt=8 • Keychain je mimo sandbox • Clipboard
  24. 24. Bezpečná komunikace
  25. 25. Bezpečná komunikace• Používejte HTTPS• Nespoléhejte na výchozí validaci SSL certifikátu, jde-li vám o ochranu proti MITM útokům• http://mitmproxy.org/
  26. 26. Edukace uživatelů
  27. 27. Edukace uživatelů• Nedávejte vašim uživatelům falešný pocit bezpečí• Upozorňujte je na možná rizika používání mobilních aplikací
  28. 28. Děkujipetr@inmite.eu @joshis_tweets
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×