Mobil eszközök biztonsága Krasznay Csaba Kancellár.hu Kft.
Bevezetés <ul><li>A mobil eszközök használata mindennapos dolog az összes cégnél. </li></ul><ul><li>Gondoljunk csak a mobi...
A mobil eszközöket fenyegető veszélyek <ul><li>A mobil eszközök biztonsága három ponton kritikus: </li></ul><ul><ul><li>A ...
A géphez való idegen fizikai hozzáférés <ul><li>Lopás, elvesztés: </li></ul><ul><ul><li>A becslések szerint évente több sz...
A géphez való idegen fizikai hozzáférés <ul><li>Biztonsági mentés: </li></ul><ul><ul><li>Az eszközök ellopása/elvesztése u...
Tárolt adatokhoz való idegen hozzáférés <ul><li>Ki a személyes eszköz tulajdonosa? </li></ul><ul><ul><li>Minél kisebb egy ...
Vezetéknélküli hálózatokhoz való hozzáférés <ul><li>Rosszindulatú szoftverek: </li></ul><ul><ul><li>A PDA-k és okostelefon...
Vezetéknélküli hálózatokhoz való hozzáférés <ul><li>Crackelés, hackelés: </li></ul><ul><ul><li>Minden hálózat annyit ér, a...
Védelmi intézkedések <ul><li>A géphez való hozzáférés megakadályozása megfelelő azonosítással. </li></ul><ul><li>Tudásalap...
Védelmi intézkedések <ul><li>A biztonsági mentés akár előre telepített, akár külső szoftverrel megoldható. </li></ul><ul><...
Védelmi intézkedések <ul><li>Mint minden számítógép esetén, a PDA-n és az okos telefonokon is kell vírusirtónak lennie. </...
Védelmi intézkedések <ul><li>A hackerek elleni védekezés legjobb módja az állandó szoftverfrissítés, a tűzfal, a víruskere...
Az iPhone hack <ul><li>Az Apple mobiltelefonját mindenki nagy érdeklődéssel várta. </li></ul><ul><li>Mellékszálként jegyez...
Az iPhone hack <ul><li>Csak éppen egy dologra nem figyeltek: minden folyamat adminisztrátori privilégiummal futott, ráadás...
(Kék)fogas kérdések <ul><li>A Bluetooth kapcsolatok sem olyan ártatlanok, mint amilyeneknek látszanak </li></ul><ul><li>Ha...
BlueSnarf <ul><li>Számtalan Bluetooth-os megvalósítási hibát találtak az elmúlt években. </li></ul><ul><li>A leglátványosa...
Bluetooth-os támadások? <ul><li>Paris Hilton telefonjáról kikerült a teljes névjegyzék és az SMS-ek </li></ul><ul><li>A hí...
Bluetooth-os támadások?
Bluetooth-os támadások? <ul><li>A Cabir, és hozzá hasonló féregvírusok bluetooth-on keresztül fertőzik a telefonokat </li>...
Bluetooth-os támadások?
Bluetooth-os támadások? <ul><li>A vírusirtókhoz olyan jelzések érkeztek, hogy a Lexus és Prius modellek fedélzeti számítóg...
Bluetooth-os támadások?
Bluetooth-os támadások? <ul><li>A bluetooth-os kihangosítókat le lehet hallgatni a Car Whisperer segítségével </li></ul><u...
Tanulságok <ul><li>A bluetooth biztonságos, egyik támadás sem a szabvány hibája miatt követhető el </li></ul><ul><li>A hib...
Tapasztalatok <ul><li>Minden rendszer, hálózat, annyit ér, amennyit a leggyengébb láncszeme. </li></ul><ul><li>Minden info...
Köszönöm szépen! [email_address]   További információ a Kancellár.hu Kft.-ről a  www.kancellar.hu  oldalon.
Upcoming SlideShare
Loading in …5
×

Security of mobile devices (in Hungarian)

516 views

Published on

Another continuation. Based on my previous Hacktivity presentations I tried to summarize the security questions of mobile devices.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
516
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Security of mobile devices (in Hungarian)

  1. 1. Mobil eszközök biztonsága Krasznay Csaba Kancellár.hu Kft.
  2. 2. Bevezetés <ul><li>A mobil eszközök használata mindennapos dolog az összes cégnél. </li></ul><ul><li>Gondoljunk csak a mobiltelefonokra, a PDA-kra, az okostelefonokra, az ezekhez tartozó memóriakártyákra, és a hasonló eszközökre. </li></ul><ul><li>Annak ellenére, hogy ezek az eszközök is számtalan vállalati adatot tartalmaznak, szinte soha nem gondolnak arra, hogy erre a területre is kidolgozzanak biztonsági szabályokat. </li></ul><ul><li>A következő 25 percben bemutatjuk, hogy miért hibás ez a gondolkodás. </li></ul>
  3. 3. A mobil eszközöket fenyegető veszélyek <ul><li>A mobil eszközök biztonsága három ponton kritikus: </li></ul><ul><ul><li>A géphez való idegen fizikai hozzáférés: a kisméretű gépeket a legkönnyebb elveszíteni illetve ellopni. </li></ul></ul><ul><ul><li>Tárolt adatokhoz való idegen hozzáférés: minél több adat van egy gépen, annál nagyobb a valószínűsége, hogy érzékeny adat is van köztük. </li></ul></ul><ul><ul><li>Vezetéknélküli hálózatokhoz való hozzáférés : egy hordozható eszköz legkönnyebben vezeték nélkül tud csatlakozni az informatikai környezetéhez. </li></ul></ul>
  4. 4. A géphez való idegen fizikai hozzáférés <ul><li>Lopás, elvesztés: </li></ul><ul><ul><li>A becslések szerint évente több százezer mobiltelefon és kéziszámítógép tűnik el a jogos tulajdonosoktól. </li></ul></ul><ul><ul><li>A dolgozók egyharmada hagyja üzleti adatait védtelenül a PDA-ján. </li></ul></ul><ul><ul><li>Nagy többségük mind személyes (pl. bankkártya PIN kód), mind üzleti (pl. hálózati jelszó) adatait rátölti a masinára. </li></ul></ul><ul><ul><li>Az elvesztés helye 40%-ban a taxi, további 20%-ban kocsmák és night clubok. </li></ul></ul><ul><ul><li>Ez becslések szerint az Egyesült Királyságban 1,3 milliárd Ł veszteséget okoz évente. (Forrás: Pointsec PDA Usage Survey 2003) </li></ul></ul>
  5. 5. A géphez való idegen fizikai hozzáférés <ul><li>Biztonsági mentés: </li></ul><ul><ul><li>Az eszközök ellopása/elvesztése után a rajta tárolt adatok is elvesznek. </li></ul></ul><ul><ul><li>Különösen pikáns a helyzet a PDA-knál azért, mert az adatok a gép RAM-jában vannak tárolva, mely a tápellátás megszűnésekor törlődik. </li></ul></ul><ul><ul><li>Ezért vannak a memóriakártyák, melyek innentől a kézigépek integráns részei, azaz rájuk is alkalmazni kell minden biztonsági szabályt. </li></ul></ul><ul><ul><li>Egyébként a használt telefonokkal foglalkozó kereskedők néha kincseket találnak a hozzájuk kerülő eszközökön. </li></ul></ul>
  6. 6. Tárolt adatokhoz való idegen hozzáférés <ul><li>Ki a személyes eszköz tulajdonosa? </li></ul><ul><ul><li>Minél kisebb egy eszköz, a dolgozó egyre inkább saját tulajdonaként kezeli, sőt akár saját maga veszi meg. </li></ul></ul><ul><ul><li>Ellenben az adatok, amik a hordozható eszközre rákerülnek, sokszor egyértelműen a vállalat tulajdonát képezik. </li></ul></ul><ul><ul><li>A vállalati IT felelős azonban a legtöbbször nem is tud róla, hogy ezek az adatok kikerültek a felelősségi köréből. </li></ul></ul><ul><ul><li>Márpedig így nem tudja megóvni vállalatát attól, hogy egy elégedetlen/figyelmetlen dolgozó nagyobb mennyiségű értékes adattal távozzon észrevétlenül. </li></ul></ul>
  7. 7. Vezetéknélküli hálózatokhoz való hozzáférés <ul><li>Rosszindulatú szoftverek: </li></ul><ul><ul><li>A PDA-k és okostelefonok is csak számítógépek, így szintén fenyegetik a vírusok, férgek, trójaik, hátsókapuk, stb. </li></ul></ul><ul><ul><li>A Palm OS-re már 2000-ben megjelentek vírusok. Az első a Palm Phage volt. </li></ul></ul><ul><ul><li>2004. júliusában a Pocket PC is elveszítette az ártatlanságát a Duts féreggel. </li></ul></ul><ul><ul><li>Ezek érkezhetnek akár e-mailben, de a Cabir féreg óta tudjuk, hogy akár Bluetoothon keresztül is kaphatunk vírust. Ez egyébként Symbian alapú mobiltelefonokat fertőzött meg. </li></ul></ul>
  8. 8. Vezetéknélküli hálózatokhoz való hozzáférés <ul><li>Crackelés, hackelés: </li></ul><ul><ul><li>Minden hálózat annyit ér, amennyit a leggyengébb pontja. </li></ul></ul><ul><ul><li>A mobil eszközök is a hálózat részei, ugyanolyan protokollok futnak rajtuk, mint a többi számítógépen (bár szerveralkalmazások igen ritkán). </li></ul></ul><ul><ul><li>Ugyanúgy előfordulhatnak hálózaton keresztül elérhető programhibák, amikre a múltban már volt precedens. </li></ul></ul>
  9. 9. Védelmi intézkedések <ul><li>A géphez való hozzáférés megakadályozása megfelelő azonosítással. </li></ul><ul><li>Tudásalapú, birtokalapú, biometriai. </li></ul><ul><li>Ezek közül a biztonságos azonosításhoz legalább kettőt alkalmazni kell. </li></ul><ul><li>Mindegyik azonosításra van lehetőség a kéziszámítógépeknél. Mobiltelefonoknál már nem ilyen könnyű a megoldás. </li></ul>
  10. 10. Védelmi intézkedések <ul><li>A biztonsági mentés akár előre telepített, akár külső szoftverrel megoldható. </li></ul><ul><li>A mentés vagy egy tárolókártyára vagy egy PC-re kerül. </li></ul><ul><li>Kérdés, hogy ezek bizalmasságát hogyan lehet megőrizni? </li></ul>
  11. 11. Védelmi intézkedések <ul><li>Mint minden számítógép esetén, a PDA-n és az okos telefonokon is kell vírusirtónak lennie. </li></ul><ul><li>Ezt pedig folyamatosan frissíteni kell – lehetőleg központilag. </li></ul>
  12. 12. Védelmi intézkedések <ul><li>A hackerek elleni védekezés legjobb módja az állandó szoftverfrissítés, a tűzfal, a víruskereső telepítése. És a gép ésszerű használata… </li></ul><ul><li>Persze vannak dolgok, amiket így sem lehet kivédeni. </li></ul>
  13. 13. Az iPhone hack <ul><li>Az Apple mobiltelefonját mindenki nagy érdeklődéssel várta. </li></ul><ul><li>Mellékszálként jegyezzük meg, hogy egy ideig a spamek is az iPhone-nal csábították áldozataikat a veszélyes weboldalakra. </li></ul><ul><li>A cég tájékoztatása szerint mindent megtettek azért, hogy a készülék biztonságos legyen </li></ul><ul><li>Ez nagyjából így is volt, hiszen a géphez alig lehetett hozzáférni, a böngészője csak bizonyos típusú fájlokat töltött le, és nyitott meg. </li></ul>
  14. 14. Az iPhone hack <ul><li>Csak éppen egy dologra nem figyeltek: minden folyamat adminisztrátori privilégiummal futott, ráadásul a memóriahasználat is megjósolható volt, és a szabad forrású kódokból nem a legfrissebbeket telepítették. </li></ul><ul><li>Ezeket felhasználva Charlie Miller és csapata 2007. nyarán két hét alatt ki tudott fejleszteni egy olyan proof-of-concept kódot, amivel az iPhone kritikus információihoz hozzá lehet férni. </li></ul><ul><li>Ehhez az kell, hogy a telefon Safari böngészője letöltsön egy HTML oldalt. </li></ul><ul><li>Az ebben levő JavaScript segítségével letölthető egy olyan kód, ami jelszavakat, e-maileket, és minden más érzékeny adatot kiad a támadónak. </li></ul><ul><li>Az Apple erre a hibára augusztusban adott ki frissítést. </li></ul>
  15. 15. (Kék)fogas kérdések <ul><li>A Bluetooth kapcsolatok sem olyan ártatlanok, mint amilyeneknek látszanak </li></ul><ul><li>Ha megvan a készülék és tudjuk róla az alapvető információkat, sejthetjük, hogy milyen támadásokra érzékeny </li></ul><ul><li>A bluetooth protokoll (egyelőre) NEM sérülékeny </li></ul><ul><li>A hiba (eddig) mindig a megvalósításban volt </li></ul>
  16. 16. BlueSnarf <ul><li>Számtalan Bluetooth-os megvalósítási hibát találtak az elmúlt években. </li></ul><ul><li>A leglátványosabb talán a Bluesnarf. </li></ul><ul><li>Az OBEX protokoll megvalósítási hibáját kihasználó támadás </li></ul><ul><li>Az objektum PUSH, azaz feltöltés helyett PULL, azaz letöltés parancsot ad ki </li></ul><ul><li>Ezzel gyakorlatilag az eszköz összes érzékeny részéhez hozzá lehet férni (el lehet olvasni az SMS-eket, a telefonszámokat, törölni is lehet ezeket, hívást lehet kezdeményezni a sérülékeny mobilról, stb.) </li></ul><ul><li>Nem szükséges hozzá párosítás </li></ul><ul><li>A bluesnarfer alkalmazással a hiba egyszerűen kihasználható </li></ul><ul><li>A Blooover nevű mobil java alkalmazással a támadás mobiltelefonról is kezdeményezhető </li></ul><ul><li>Régebbi, népszerű telefonok az igazán sérülékenyek (pl. Nokia 6310i) </li></ul>
  17. 17. Bluetooth-os támadások? <ul><li>Paris Hilton telefonjáról kikerült a teljes névjegyzék és az SMS-ek </li></ul><ul><li>A hírek szerint telefonjának bluetooth kapcsolatán keresztül hackelték meg </li></ul><ul><li>Valójában a telefonja webes szinkronizálást használt, és ezt törték fel </li></ul>
  18. 18. Bluetooth-os támadások?
  19. 19. Bluetooth-os támadások? <ul><li>A Cabir, és hozzá hasonló féregvírusok bluetooth-on keresztül fertőzik a telefonokat </li></ul><ul><li>A valóság az, hogy a férgek tényleg a bluetooth kapcsolatot használják a terjedésre </li></ul><ul><li>De a fertőzéshez minden esetben az kell, hogy a telefon tulajdonosa feltelepítse azokat a gépére. </li></ul>
  20. 20. Bluetooth-os támadások?
  21. 21. Bluetooth-os támadások? <ul><li>A vírusirtókhoz olyan jelzések érkeztek, hogy a Lexus és Prius modellek fedélzeti számítógépeit a bluetooth-on keresztül terjedő féregvírusok fertőzik </li></ul><ul><li>Az F-Secure tesztje azonban kimutatta, hogy a beépített bluetooth rendszer egyik nyilvános támadásra sem érzékeny </li></ul>
  22. 22. Bluetooth-os támadások?
  23. 23. Bluetooth-os támadások? <ul><li>A bluetooth-os kihangosítókat le lehet hallgatni a Car Whisperer segítségével </li></ul><ul><li>Valójában a bluetooth képes headsetek általában valamilyen egyszerű PIN kóddal kapcsolódnak a telefonhoz (pl. 1234) </li></ul><ul><li>A támadó ehhez a headsethez kapcsolódik hozzá, így beszélni tud a vezetőhöz, és hallja is őt </li></ul><ul><li>A támadás a gyenge PIN kód beállítást használja ki </li></ul><ul><li>Már számítógépek ellen is bevethető (bizonyos esetekben a driver nem használ PIN kódot a kapcsolódósához). </li></ul>
  24. 24. Tanulságok <ul><li>A bluetooth biztonságos, egyik támadás sem a szabvány hibája miatt követhető el </li></ul><ul><li>A hiba mindig a megvalósításban vagy a felhasználóban van </li></ul><ul><li>Védekezni nagyon egyszerű: </li></ul><ul><ul><li>Csak akkor használjuk a bluetooth-t, ha muszáj </li></ul></ul><ul><ul><li>Állítsunk be „bonyolult” PIN kódot </li></ul></ul><ul><ul><li>Csak akkor fogadjunk bármit a telefonra, ha biztosan tudjuk, hogy szükségünk van rá </li></ul></ul><ul><li>A támadások egyre inkább a számítógépek bluetooth kapcsolatai ellen irányulnak. </li></ul><ul><li>Azért a jelenleg népszerű telefonok is sérülékenyek Bluetoothon keresztüli DoS támadásokra… </li></ul>
  25. 25. Tapasztalatok <ul><li>Minden rendszer, hálózat, annyit ér, amennyit a leggyengébb láncszeme. </li></ul><ul><li>Minden informatikai biztonsági vezetőnek kötelessége lenne minden eshetőségre felkészülni. </li></ul><ul><li>Például a hordozható eszközök használatának szabályzatba foglalására is. </li></ul><ul><li>Ne felejtsék el tehát a hordozható eszközöket sem! </li></ul>
  26. 26. Köszönöm szépen! [email_address] További információ a Kancellár.hu Kft.-ről a www.kancellar.hu oldalon.

×