• Like
Uploaded on

Dieser Vortrag vermittelt einen Erfahrungsbericht über den Schutz mobiler Endgeräte und die Herausforderungen bei der Erstellung und Implementierung eines nachhaltigen Sicherheitskonzepts. In einer …

Dieser Vortrag vermittelt einen Erfahrungsbericht über den Schutz mobiler Endgeräte und die Herausforderungen bei der Erstellung und Implementierung eines nachhaltigen Sicherheitskonzepts. In einer Übersicht werden die verschiedenen Sicherheitsbedrohungen für iOS basierende mobile Geräte aufgezeigt und den Sicherheitsfunktionen des Betriebssystems gegenüber gestellt.

Referent: Marco Bolliger

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
224
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
4
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 5/16/13 1iOS SecurityDigicomp Hacking Day 2013marco.bolliger@infotrust.ch16.05.2013Zur meiner Person5/16/13 Info Trust AG2Marco BolligerZur Person:•  Head Client-/Server Security undGründungsmitglied der InfoTrust AG•  Studium EMBA / FH•  Studium Elektroingenieur / HTL•  >10 Jahre IT-Security-ErfahrungMeine Kontaktdaten:T. +41 43 4777010marco.bolliger@infotrust.ch
  • 2. 5/16/13 2Gründung 2002Gesellschafts-form100% selbstfinanzierteAGUmsatz 12.5 Mio. CHFMitarbeiter 31Kunden 150Zur InfoTrust AGInfoTrust Lösungen & Services
  • 3. 5/16/13 3InfoTrust Partner•  Was sind die Herausforderungen beimEinsatz mobiler Geräte?•  Überblick der Sicherheitsmöglichkeitenvon iPhone/iPad•  Mit welchen Lösungsansätzen kann dieSicherheit zusätzlich erhöht werden?•  Wo liegen die Grenzen dieserLösungsansätze (Security vs.Usability)?•  Aufzeigen einer Checkliste für densicheren Businesseinsatz•  Förderung der AwarenessZiele
  • 4. 5/16/13 45/16/13 Info Trust AG7•  1.7 Milliarden verkaufte Mobile Devices in 2012 (1.8 Milliarden im 2011)(Quelle: Gartner Feb. 2013)•  davon 721 Millionen Smartphones(472 Millionen im 2011, 296 Millionen im 2010)•  Wer entscheidet, welches mobile Gerät im Unternehmen zum Einsatzkommt?1999 2002 2007 2008 2010Nokia 7110 BlackBerry iPhone AndroidiPadPocketPC2012WP82013BB 10Mobile Device Market5/16/13 Info Trust AG8Mobile OS – Weltweite Verteilung
  • 5. 5/16/13 55/16/13 Info Trust AG9Mobile OS – Weltweite Verteilung5/16/13 Info Trust AG10Mobile OS – Schweiz
  • 6. 5/16/13 65/16/13 Info Trust AG11Mobile OS – Schweiz5/16/13 Info Trust AG12Herausforderungen für die IT Abteilung•  Welche mobilen Plattformen sollen unterstützt werden, wer entscheidetdies?•  Wem gehören die mobilen Geräte (BYOD)?•  Auf welche Unternehmensdaten wird ein mobiler Zugriff erlaubt?•  Schutz der Daten auf den mobilen Geräten•  Trennung zwischen Privat- und Unternehmensdaten•  Rollout der eigenen Policy und Unternehmens-Applikationen (Apps)•  Massnahmen bei Verlust eines Gerätes bzw. Management der Geräte•  IT Betrieb bzw. Support 7x24h
  • 7. 5/16/13 75/16/13 Info Trust AG13Sicherer Zugriff auf Unternehmensdaten•  Microsoft ActiveSync•  VPN•  Virtuelle Desktops•  Enterprise Apps•  Eigene Apps•  Wo sind die Daten? Auf dem Gerät oder im Rechenzentrum?5/16/13 Info Trust AG14iOS Application Security•  Sichere Architektur durchApp Sandbox•  Kein Zugriff auf Daten eineranderen App•  Jede App muss digital signiertwerden•  Nur signierte Apps werden ausgeführt•  iOS Developer Program•  Ad Hoc Distribution bis 100 Geräte•  In-House Verteilung möglich (iOS Developer Enterprise)•  Apps für die Verteilung über den App Store durchlaufeneinen Review Prozess von AppleQuelle: Apple
  • 8. 5/16/13 8Apple App Store – Verifikation durch Apple5/16/13 Info Trust AG15•  Functionality•  Metadata, ratings and rankings•  Location•  Push notifications•  Game Center•  iAds•  Trademarks and trade dress•  Media content•  User interface•  Purchasing and currencies•  Scraping and aggregation•  Damage to device•  Personal attacks•  Violence•  Objectionable content•  Privacy•  Pornography•  Religion, culture, and ethnicity•  Contests, sweepstakes,lotteries,and raffles•  Charities and contributions•  Legal requirementsQuelle: Apple Guidelines October 20115/16/13 Info Trust AG16iOS Sicherheitsfunktionen•  Device Security – Zugriffschutz mittels Passcode•  Data Protection – Encryption (ab iPhone 3GS/iOS 4.0, erweitert in iOS5.0)•  Policy Enforcement und Device Restrictions•  Secure Device Configuration – verschlüsselte Configuration Profiles•  Remote und Local Wipe (basierend auf Full Disk Encryption)•  Network Security – VPN, SSL/TLS und WPA/WPA2•  Secure Authentication Framework – Keychain – x509v3 Zertifikate•  Security Framework (API)
  • 9. 5/16/13 95/16/13 Info Trust AG17Malware auf mobilen GerätenQuelle: McAfee Threats ReportsQ1/2012Q2/2011Q4/20125/16/13 Info Trust AG18iOS Sicherheitslücken und Malware•  Aurora Feint (Juli 2008) – Kontaktdaten vom Adressbuch wurdenungefragt auf den Server der Entwickler geladen•  Storm8 (November 2009) – Upload der Telefonnummer des Gerätes•  MogoRoad (September 2009) – Transfer der Telefonnummer anEntwickler•  iPhoneOS.Ikee Worm (November 2009) – Nur auf Geräten mit Jailbreak•  PDF/Buffer Overflow (Juli 2011) – Root-Rechte, behoben mit iOS 4.3.4•  iPad 2 Cover (Oktober 2011) – Gerätesperre auf einem iPad 2 mit iOS 5lässt sich mit dem Smart-Cover teilweise umgehen•  iPhone (August 2012) – Versand von SMS mit gefälschten Absenderneventuell möglich•  Lockscreen Bypass (Februar 2013) – Gerätesperre kann umgangenwerden mit Notruffunktion
  • 10. 5/16/13 105/16/13 Info Trust AG19Jailbreak•  Sicherheitsmechanismen und Restriktionen des iOS umgehen•  Erlangen von Root-Rechten (uneingeschränkter Zugang auf das System)•  Eigene Applikationen installieren•  Ausnutzen einer Sicherheitslücke•  Resultat: Sicherheitsrisiken entstehen!5/16/13 Info Trust AG20Data Protection•  Verschlüsselte Dateien•  Key Chain•  Sicherer Speicherplatz für Schlüssel,Passwörter, Zugangsdaten,…•  Applikation hat nur Zugang auf eigene DatenDevice Key(Hardware)ProtectedFilePasscode(User)Class KeyFile KeyFile Meta Data
  • 11. 5/16/13 115/16/13 Info Trust AG21Live Demo – Bruteforce Attacke auf DatenBoot des iPhones imDFU Modus mitmodifiziertem OSSSH Verbindungaufbauen über USBAnschluss1 2Mounten derinternen System-und Daten-Disks3Zugriff nur aufungeschützte DateienmöglichBruteforceAttacke, um Passcodezu erraten4 5Zugriff auchauf geschützteDateien möglich65/16/13 Info Trust AG22Bruteforce Erfolge nach Passwortlänge•  4 Stellen numerisch : max. 30 Minuten•  6 Stellen numerisch : max. 50 Stunden•  8 Stellen numerisch : max. 208 Tage•  6 Stellen alphanumerisch : max. 360 Jahre•  iPhone 4, im extremsten Fall, ohne Ausschlüsse
  • 12. 5/16/13 125/16/13 Info Trust AG23Backup•  Backup wird in iTunes erstellt (iOS 4), ab iOS 5 auch in iCloud möglich•  Der Benutzer des Geräts erstellt sein Backup oftmals auf einem privatenRechner ohne definierten Schutz•  Der Schutz der Backup-Daten wird dem Benutzer überlassen (Zugriff,Verschlüsselung, Passwortschutz)•  Backups bringen potentiell sensible Daten auf einen unsicheren Rechner5/16/13 Info Trust AG24Backup•  Backups können verschlüsselt abgelegt werden – dringend empfohlen•  Der Schutz ist abhängig von der Passwortstärke des Backup-Passworts•  Verschlüsselung des Backups wird erzwungen, sobald Zertifikate auf demSystem installiert sind•  Angriffspunkt: „Bruteforce“ Attacken, mit denen das Passwort offlineerraten wird.•  Escrow Keybag ermöglicht Synchronisation und Backup von gelocktenDevices – ermöglicht auch Zugriff auf Dateien
  • 13. 5/16/13 135/16/13 Info Trust AG25Live Demo – Backup Datei auslesen5/16/13 Info Trust AG26Mobile Device Management - MDM•  Daten auf die mobilen Geräte synchronisieren•  Betriebssystemeinstellungen vom iOS zentral konfigurieren•  Sicherheitspolicies umsetzen•  Geräte überwachen und inventarisieren•  Geräte oder Daten löschen von Remote
  • 14. 5/16/13 145/16/13 Info Trust AG27Gerätemanagement – 3 Ansätze•  Manuelles erstellen und verteilen von Profilen mit dem Apple iPhoneConfiguration Utility (.mobileconfig Dateien)•  Configuration Utility via USB•  Download mit Safari Browser•  Versand via E-Mail•  Exchange Active Sync Policies•  Serverbasierte Lösung mit Mobile Device Management Server(Dritthersteller)5/16/13 Info Trust AG28Gerätemanagement – 3 AnsätzeManuelleKonfigurationExchangeActiveSyncMDMSystemAusrollprozess Aufwändig Einfach SehrEinfachÜberwachung GerätestatusRemote Administration(lock, wipe, reset, update)SicherheitseinstellungenPolicy Updates über dieLuft (OTA)
  • 15. 5/16/13 155/16/13 Info Trust AG29Checkliste für den sicheren Businesseinsatz•  Security Policy und Benutzungsrichtlinien für mobile Geräte•  Benutzer Awareness•  Jailbreak und Einsatz im Unternehmen passen nicht zusammen•  Passcode mindestens 8 Stellen (nummerisch)•  Backup-Passwort gesetzt, d.h. Backup wird verschlüsselt•  Zentrales Mobile Device Management•  Compliance Prüfung und Reporting•  Definition wo die Daten liegenHaben Sie noch Fragen ???Vielen Dank für IhreAufmerksamkeit.