• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Bezpečnost na mobilních zařízeních
 

Bezpečnost na mobilních zařízeních

on

  • 832 views

 

Statistics

Views

Total Views
832
Views on SlideShare
831
Embed Views
1

Actions

Likes
0
Downloads
5
Comments
0

1 Embed 1

http://us-w1.rockmelt.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Bezpečnost na mobilních zařízeních Bezpečnost na mobilních zařízeních Presentation Transcript

    • Bezpečnost na mobilních zařízeníchpetr@inmite.eu @joshis_tweets
    • Co je to bezpečnost?• “Snaha minimalizovat dopady hrozeb” • Hrozba = situace, která mě může poškodit • Dopad = peníze, které zaplatím, když se něco stane
    • Co je to bezpečnost?• Málo pravděpodobné hrozby mají typicky větší dopad • ztráta klíčeny PKI v situaci, kdy řeknete kamarádovi heslo do bankovnictví v hospodě
    • Autorizace SandboxingAutentizace Bezpečnost Edukace uživatelů Chráněné úložiště Bezpečná komunikace
    • Mobilní zařízení jsou nebezpečná ... různě se povalují, a tak...
    • Dříve byl svět jednodušší SIM Toolkit Java ME
    • Mobilní telefon(krásný)
    • Tablet device(krásný)
    • Dell Streak(divný)
    • Asus EEEPad(nevyhraněný)
    • Internet do notebooku?(Co bude dál? Lékař jen na zuby?)
    • Autentizacea autorizace
    • Jak dokážu, že já jsem já?• Prohlásím to - volný přístup• Prokážu se znalostí - login/heslo• Prokážu se vlastnictvím tokenu - certifikát• Token mě prokáže - SecurID, secure token, ...
    • Autentizace a autorizace Bankovnictví Kdokoliv kontakt• Autorizace = Určení historie toho, co můžu dělat• Různým úrovním platba autorizace mohou odpovídat různé úrovně autentizace Login/Heslo SMS kód, SecurID, ...
    • Mobilní zařízení jsou anonymní ... nejsou jednoznačně identifikovatelná...
    • Problém• Žádné IMEI, ICCID, ... • často není SIM karta, není API v SDK• Žádná autorizace pomocí SMS • opět - není SIM • ... nebo hůř - je SIM• Žádná USB klíčenka • není port pro USB
    • Řešení• Přiznat si, že zařízení je anonymní • ... chceme přeci ověřit uživatele...• Proces personalizace instalace • “ID zařízení” vs. “ID instalace” vs. “ID aktivace”• Jiná dvou-faktorová autentizace • SecurID • Secure Token s NFC
    • Autentizace a autorizace• Tustý klient • Jednofaktorová: OAuth 1.0a (ne OAuth 2.0!!!), XAuth, deriváty • Vícefaktorová: SecurID, gridkarta• Mobilní web: Jen pasivní operace• Neukládat hesla • iOS: Keychain se dá vykrást do 6 minut
    • Biometriky ... jsou nuda...... svá biometrická data trousíte kudy jdete...
    • Bezpečné úložiště dat
    • Bezpečné úložiště dat • Na mobilním zařízení není obecně možné zajistit • Varianta: Zabezpečená cache Vzdálená blokace • Data chráněná heslem do aplikace • Druhá komponenta - token ze serveru svázaný s heslem Blokuje server po N pokusech • Varianta: Heslem zabezpečený klíč • Náhodnost zamezuje použití brute-force
    • Sandboxing
    • Sandboxing• Víte, co je ve vaší aplikaci a co mimo ní? • Data logovaná přes NSLog se ukládají mimo sandbox • http://itunes.apple.com/us/app/ appswitch/id398317469?mt=8 • Keychain je mimo sandbox • Clipboard
    • Bezpečná komunikace
    • Bezpečná komunikace• Používejte HTTPS• Nespoléhejte na výchozí validaci SSL certifikátu, jde-li vám o ochranu proti MITM útokům• http://mitmproxy.org/
    • Edukace uživatelů
    • Edukace uživatelů• Nedávejte vašim uživatelům falešný pocit bezpečí• Upozorňujte je na možná rizika používání mobilních aplikací
    • Děkujipetr@inmite.eu @joshis_tweets