Android smartphones und sicherheit
 

Android smartphones und sicherheit

on

  • 884 views

 

Statistics

Views

Total Views
884
Views on SlideShare
855
Embed Views
29

Actions

Likes
1
Downloads
9
Comments
1

2 Embeds 29

http://www.digicomp.ch 28
http://news.digicomp.ch 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • Hier ein Artikel zum Thema: Mobiles Arbeiten: Sicherheit, Produktivität und Mobilität

    http://clicksafe.kensington.com/de/laptop-sicherheit-blog/bid/78940/Mobiles-Arbeiten-Sicherheit-Produktivit%C3%A4t-und-Mobilit%C3%A4t
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Android smartphones und sicherheit Android smartphones und sicherheit Presentation Transcript

  • Hacking Day 2012 – Future Security Android Smartphones und Sicherheit Tobias Ellenberger - COO & Co-Partner - OneConsult GmbH© 2012 OneConsult GmbH 14. Juni 2012www.oneconsult.com
  • Agenda Agenda → Vorstellung → Android OS → Sicherheitsanalyse → Security Suites für Android → Fazit© 2012 OneConsult GmbH 2www.oneconsult.com
  • Vorstellung Über mich → Tobias Ellenberger → Ausbildung als Mediamatiker → Stetige Weiterbildung in den Bereichen Security, Netzwerk, Microsoft → Seit 2002 in den Bereichen Consulting und Engineering tätig → COO & Co-Partner der OneConsult GmbH© 2012 OneConsult GmbH 3www.oneconsult.com
  • Vorstellung OneConsult GmbH → IT Security Consulting & strategische Beratung → Kein Verkauf von Hard- und Software → Kunden ◦ Hunderte Unternehmen und Konzerne in Europa und Übersee ◦ tätig in allen Branchen → Kompetenz ◦ mehr als 500 technische Security Audits (davon 450 OSSTMM konform) ◦ Dutzende konzeptionelle Projekte → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Deutschland: Büro in München ◦ Österreich: Büro in Wien© 2012 OneConsult GmbH 4www.oneconsult.com
  • Vorstellung Unsere Dienstleistungen → Security Audits → Incident Response ◦ Security Scan ◦ Emergency Response ◦ Penetration Test ◦ Computer Forensics ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering → Training & Coaching ◦ Conceptual Security Audit ◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning → Consulting ◦ Secure Software Development ◦ Strategy & Organisation ◦ Coaching ◦ Policies & Guidelines ◦ Processes & Documentation → Security as a Service ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management© 2012 OneConsult GmbH 5www.oneconsult.com
  • Agenda Agenda → Vorstellung →Android OS → Sicherheitsanalyse → Security Suites für Android → Fazit© 2012 OneConsult GmbH 6www.oneconsult.com
  • Android OS Was ist das Android OS? → Betriebssystem für mobile Endgeräte → Entwickelt von Google und Open Handset Alliance → Basierend auf Linux Kernel → Anwendungen werden mittels Java entwickelt → Anwendungen laufen in einer virtuellen Instanz → Bestehende Funktionen durch Applikationen erweitern → Grundlegende Sicherheitsfunktionen ◦ ...dazu später © 2012 OneConsult GmbH 7www.oneconsult.com
  • Android OS Android OS: Architektur Architekturdarstellung von Google© 2012 OneConsult GmbH 8www.oneconsult.com
  • Android OS Android OS: Technischer Stand → Was wurde aus der „PC-OS-Vergangenheit“ gelernt? ◦ Sandboxing ◦ Least Privileges (Berechtigungskonzepte) ◦ Unterschiedliche Ansätze zwischen Android OS, iOS und Windows Phone › Open Source vs. Closed Source › Google Play, App Store etc. › Updatekonzepte Fazit: Die Security-Grundlagen und Erfahrungen sind in die Entwicklung mit eingeflossen… … unter Berücksichtigung der eigenen Interessen© 2012 OneConsult GmbH 9www.oneconsult.com
  • Agenda Agenda → Vorstellung → Android OS →Sicherheitsanalyse → Security Suites für Android → Fazit© 2012 OneConsult GmbH 10www.oneconsult.com
  • Sicherheitsanalyse Sicherheitsanalyse: Sicherheitsfunktionen... → Kernel → Sandboxing → Rechteverwaltung → Bildschirmsperre → Google Play – ex Android Market (Gtalk Service) → Faktor Mensch© 2012 OneConsult GmbH 11www.oneconsult.com
  • Sicherheitsanalyse Sicherheitsanalyse: Kernel → Linux Kernel ja / nein? → Gut gepflegte Software (Analyse von Coverty) → Daraus folgt: Linux ist eine gute Basis für das Entwickeln eines sicheren Produktes → Jon Oberheide: «Schweizer Käse» ◦ Linux bietet eine hervorragende Angriffsfläche ◦ Praxis: z.B. Rooting© 2012 OneConsult GmbH 12www.oneconsult.com
  • Sicherheitsanalyse Sicherheitsanalyse: Sandboxing → Prinzip: Applikation hat keinen Zugriff auf eine andere Anwendung oder auf das System → Bekannt von Linux und Windows (UAC) → Aber: ◦ Dateisystem › Ab Android 2.3 Ext4 (vorher YAFFS) › Auf SD-Karten FAT ◦ Shared User ID’s → Kleines Beispiel… ◦ Fun-Foto App (Zugriff Bilder) ◦ Game (Zugriff Internet für High-Score)© 2012 OneConsult GmbH 13www.oneconsult.com
  • Sicherheitsanalyse Sicherheitsanalyse: Rechteverwaltung → Erlaubt Kommunikation zwischen Anwendungen → Aufweichen des Sicherheitsmechanismus → Vier Schutzstufen ◦ «normal» ◦ «dangerous» ◦ «signature» ◦ «signatureOrSystem» → Schwächen der Rechteverwaltung ◦ Es gibt nur JA oder NEIN ◦ Sehr global gefasste Berechtigungen › android.permission.INTERNET › android.permission.WRITE_EXTERNAL_STORAGE© 2012 OneConsult GmbH 14www.oneconsult.com
  • Sicherheitsanalyse Sicherheitsanalyse: Bildschirmsperre → Passwort sinnvoll für den Schutz des Smartphones → Folgende Möglichkeiten:© 2012 OneConsult GmbH 15www.oneconsult.com
  • Sicherheitsanalyse Sicherheitsanalyse: Google Play → Applikationen erweitern die Funktionen des Smartphones → Benutzerbasierte Kontrolle des Inhalts → Bouncer (Malwarekontrolle – seit 2011) ◦ Summercon Juni 2012 → Jeder kann für $25 Applikationen veröffentlichen (auch anonym) → Apps müssen signiert werden; selbst signiertes Zertifikat für den Benutzer-Account → Seit Februar 2011: Installation von Apps via Browser möglich© 2012 OneConsult GmbH 16www.oneconsult.com
  • Sicherheitsanalyse …und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Beispiel: 23.01.2012 (http://www.heise.de/security/meldung/Linux- Root-Rechte-durch-Speicherzugriff-1419608.html) ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App)© 2012 OneConsult GmbH 17www.oneconsult.com
  • Sicherheitsanalyse Android Hax (Funktion) Root Exploit http://jon.oberheide.org/rootstrap/index© 2012 OneConsult GmbH 18www.oneconsult.com
  • Sicherheitsanalyse Android Hax (Verbreitung) → Über 200 Downloads in weniger als 24h → Reaktion: Remote Wipe© 2012 OneConsult GmbH 19www.oneconsult.com
  • Sicherheitsanalyse …und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Aktuelles Beispiel: 23.01.2012 ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App) → Sandboxing ◦ Cross Application Scripting ◦ Shared User-ID → Rechteverwaltung ◦ Eigene Berechtigungen…© 2012 OneConsult GmbH 20www.oneconsult.com
  • ...und wie sie ausgenutzt werden Rechteverwaltung (Beispiel) (1) Password-Safe (2) Google Play (3)Password-Gen - Kein Internet - Top Rating - Internet Zugriff - pw.exchange - X Downloads - pw.exchange© 2012 OneConsult GmbH 21www.oneconsult.com
  • Sicherheitsanalyse …und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Beispiel: 23.01.2012 ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App) → Sandboxing ◦ Cross Application Scripting → Rechteverwaltung ◦ Eigene Berechtigungen… ◦ «exported attribute» → Google Play (Gtalk Service)© 2012 OneConsult GmbH 22www.oneconsult.com
  • Sicherheitsanalyse Google Play© 2012 OneConsult GmbH 23www.oneconsult.com
  • Sicherheitsanalyse Google Play (Gtalk Service) → Apps werden nicht über die Google Play App installiert → Die App wird mittels C2DM-Server gepusht → Google hat mindestens folgende Funktionen zur Verfügung: ◦ INSTALL_ASSET (App installieren) ◦ REMOVE_ASSET (App entfernen) › Twilight Eclipse App › DroidDream-Trojaner → Was wenn jemand die Google Server «übernimmt» ?!?© 2012 OneConsult GmbH 24www.oneconsult.com
  • Sicherheitsanalyse Sicherheitsanalyse: Faktor Mensch → «JA Klick» - Syndrom → «Ich will» - Syndrom → «KLDAZL» - Syndrom → «DGMNA» - Syndrom© 2012 OneConsult GmbH 25www.oneconsult.com
  • Agenda Agenda → Über OneConsult GmbH & me → Android OS → Sicherheitsanalyse →Security Suites für Android → Fazit© 2012 OneConsult GmbH 26www.oneconsult.com
  • Security Suites Security Suites → Hersteller ◦ Neue Hersteller z.B. Lookout spezialisiert auf Mobile Security ◦ Die meisten namhaften Hersteller von AV-Software für PC’s → Nutzen ◦ Schutz vor Malware, Phishing, Datenverlust und Diebstahl ◦ Erweiterte / zusätzliche Funktionen für das Smartphone → Funktionen ◦ Malware Scanner ◦ Backup & Locator Dienste ◦ Datenschutz ◦ Div. Sperr und Filterfunktionen© 2012 OneConsult GmbH 27www.oneconsult.com
  • Security Suites Security Suites → Gegen was helfen Security Suites wirklich? ◦ Ergänzung der Schutzfunktionen vom Smartphone ◦ Erkennen von bestehenden / bekannten Gefahren → Was Security Suites nicht können ◦ Neue Angriffe erkennen ◦ «Intelligente» Angriffe verhindern ◦ Menschliches Verhalten ändern ◦ Entwickler sensibilisieren (Vergabe von Rechten) → Fazit: ◦ Sinnvolle Ergänzung zum Betriebssystem ◦ Falsches Sicherheitsgefühl ◦ Die bekannten AV-Hersteller sind bei den Tests vorne dabei© 2012 OneConsult GmbH 28www.oneconsult.com
  • Agenda Agenda → Über OneConsult GmbH & me → Android OS → Sicherheitsanalyse → Security Suites für Android →Fazit© 2012 OneConsult GmbH 29www.oneconsult.com
  • Fazit Fazit → Modernes Betriebssystem → Berücksichtigung von Sicherheitsaspekten → Es gilt zu beachten ◦ Attraktiv für Angriffe (Verbreitung, Daten) ◦ Langsame Updates / Automatische Updates ◦ Kein Vertrauen in Google Play → Eignet sich Android für den geschäftlichen Einsatz? ◦ Auch andere Smartphones haben Probleme  ◦ Mobile Device Management (MDM) ◦ Einschränken der Gerätetypen (Update Aufwand) → XMV© 2012 OneConsult GmbH 30www.oneconsult.com
  • © 2012 OneConsult GmbHwww.oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Tobias Ellenberger Mediamatiker EFZ, MCITP, OPST & OPSA COO & Co-Partner tobias.ellenberger@oneconsult.com +41 79 314 25 25 Hauptsitz Büro Deutschland Büro Österreich OneConsult GmbH Niederlassung der OneConsult GmbH Niederlassung der OneConsult GmbH Schützenstrasse 1 Karlstraße 35 Wienerbergstraße 11/12A 8800 Thalwil 80333 München 1100 Wien Schweiz Deutschland Österreich Tel +41 43 377 22 22 Tel +49 89 452 35 25 25 Tel +43 1 99460 64 69 Fax +41 43 377 22 77 Fax +49 89 452 35 21 10 Fax +43 1 99460 50 00 info@oneconsult.com info@oneconsult.de info@oneconsult.at© 2012 OneConsult GmbHwww.oneconsult.com