• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
20140610 net tuesday - 行動裝置安全
 

20140610 net tuesday - 行動裝置安全

on

  • 294 views

 

Statistics

Views

Total Views
294
Views on SlideShare
58
Embed Views
236

Actions

Likes
0
Downloads
0
Comments
0

10 Embeds 236

http://techsoup-taiwan.blogspot.com 125
http://techsoup-taiwan.blogspot.tw 48
http://nettuesday.tw 38
https://www.blogger.com 7
http://www.google.com.tw 7
http://feeds.feedburner.com 4
http://techsoup-taiwan.blogspot.hk 3
https://techsoup-taiwan.blogspot.com 2
http://feedly.com 1
http://techsoup-taiwan.blogspot.jp 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    20140610 net tuesday - 行動裝置安全 20140610 net tuesday - 行動裝置安全 Presentation Transcript

    • 行動裝置安全 戴夫寇爾股份有限公司 翁浩正 (Allen Own)
    • Who Am I 翁浩正 (Allen Own) allenown@devco.re DEVCORE 戴夫寇爾 執行長 ! HITCON 台灣駭客年會副總召 CHROOT 成員 NISRA 資安團隊創辦人 資安技能金盾獎競賽100年冠軍
    • 進行政府單位、企業等滲透測試專案 任企業、學術及政府單位講師及顧問 ! 資訊安全系統研究及開發 網路安全規劃建置 駭客攻擊手法、駭客追蹤 攻擊程式、後門程式開發與研究 ! EC-Council Certified Ethical Hacker 講師 Computer Hacking Forensic Investigator
    • 4
    • 什麼是行動裝置?
    • 行動裝置的發展
    • http://www.flickr.com/photos/seychelles88/361496560/
    • Feature Phone 
 功能型電話 僅有電話功能及簡 單個人記事功能
    • Personal Digital Assistant (PDA)
 個人行事助理 主重個人資訊管理 基本多媒體及網路 功能
    • Smartphone
 智慧型手機 整合手機與 PDA 強化應用程式、多 媒體、網路功能
    • 智慧型手機的成長 •智慧型手機是目前手機的趨勢 •行動運算的新時代帶來更多應用 •結合雲端運算給予手機更大的附加價值 •3G 網路技術發達使手機生態改變
    • 智慧型手機的規格 •硬體 •CPU:2GHz、四核心 •GPU:PowerVR / Adreno •記憶體:1GB ~ 3GB •網路 •3G、HSDPA •WiMax、LTE •Bluetooth、Wi-Fi •IR、NFC 感應卡! •敏感資料 –通話記錄 –簡訊、郵件、即時通訊 –聯絡人、社群網路 –照相機、錄音 –GPS 定位
    • 智慧型手機的規格 •硬體 •CPU:2GHz、四核心 •GPU:PowerVR / Adreno •記憶體:1GB ~ 3GB •網路 •3G、HSDPA •WiMax、LTE •Bluetooth、Wi-Fi •IR、NFC 感應卡! •敏感資料 –通話記錄 –簡訊、郵件、即時通訊 –聯絡人、社群網路 –照相機、錄音 –GPS 定位 等同⼀一台隨⾝身⼩小型電腦!
    • 智慧型手機作業系統
    • 智慧型手機作業系統 •Apple iOS •Google Android •Windows Phone
    • iPhone • 2007 年 Apple 發展智慧 型手機的新時代 ! • 流暢的使用者使用體驗 • 著重多媒體與系統整合 • 結合網路應用
    • Apple App Store
    • Apple App Store •App Store 提供各式各樣軟體下載 •導入軟體市場購買機制,使用者選購付費 •軟體數量突破 90 萬大關,累計下載次數 50,000,000,000
    • Android
    • Android •Google 發展的手機作業系統 •2007 年開始發展,2008 年發表 G1 手機 •2011 年成為全球第一大手機作業系統 ! •與 Google 服務整合度高 •作業系統較為開放
    • 27
    • Google Play
    • Google Play •Google 提供 Market 供使用者下載、購買應用程 式。後稱 Google Play。 •台灣 2010 年開放購買軟體 •軟體數量突破 100 萬個 (2013 年 7 月),累積下 載量 50,000,000,000
    • 軟體權限 • 每個程式都有權限控管 • 使用者必須仔細閱讀權限, 以防遭惡意軟體利用
    • Windows Phone
    • Windows Phone 8 •WP8 為微軟發展的全新手機平台 •大量改善舊有 Windows Mobile 系統缺失 •整合 Xbox 以及 Live 服務
    • Windows Phone Store
    • Windows Phone Store •提供各種應用程式下載 •開發者使用 XAML、C#、VB.NET ! •軟體數量突破 20 萬個
    • 市場消息 •Android 超越 RIM 成為美國第一大行動平台
 •http://www.comscore.com/Press_Events/ Press_Releases/2011/4/ comScore_Reports_February_2011_U.S._Mobile_Sub scriber_Market_Share/(language)/eng-US
    • 平板系統
    • 平板系統 •Apple iPad •Google Android •Microsoft Windows
    • 平板系統 •運算速度更快 •更大尺寸的螢幕 •更強的電力 •給予更多樣化的應用
    • Apple iPad
    • Android
    • Windows
    • 平板系統應用 •個人資訊管理 •電子書 •網路瀏覽 •多媒體應用 •遊戲
    • 個人手機應用
    • 個人手機應用 •Personal Information Management (PIM) •個人資訊管理 •行事曆 •通訊錄 •代辦事項 •備忘錄
    • http://www.flickr.com/photos/vsy/4996102088/
    • http://www.flickr.com/photos/marypcb/4930362870/
    • http://www.flickr.com/photos/purpleslog/183842413/
    • http://www.flickr.com/photos/dedi/3388471972/
    • http://www.flickr.com/photos/helenzhang/4814946755/
    • 個人手機應用 •個人財務管理 •多媒體及娛樂 •行動網路
    • https://www.mint.com/
    • 實際案例 •馬來西亞2012年將推手機報稅:
 DIGICERT有限公司首席執行員拿督諾阿斯里披露,由 明年起,該公司將會推介智慧型手機電子報稅系統, 為納稅人提供更便捷的報稅服務。他表示,這項新繳 稅系統,目前需要6個月的時間試跑,因為需要確定 採用甚麼手機,以及有關手機,是否能存放報稅電子 文件。 • http://www.ithome.com.tw/itadm/article.php?c=66928 • http://www.btimes.com.my/Current_News/BTIMES/articles/digicert/Article/
    • 企業手機應用
    • 組織運用 •專案管理 •業務管理 •人事差勤 •表單簽核
    • 專案管理 •傳統: •人員必須要現場討論 •無法有效有組織性的討論及記錄 ! •現代: •網路直接同步所有資料 •所有更新即時記錄 •自動提醒時程及備忘
    • http://www.flickr.com/photos/monacho/3420112384
    • https://basecamp.com/mobile
    • 實際案例 •長春石化採用 iPhone 作為企業內部應用系統的行 動手持裝置 •企業內部的 VoIP 電話 •和桌上分機電話同步共振 •批審電子表單 •電子郵件收發
    • 行動裝置真的安全嗎
    • 行動裝置真的安全嗎 •行動惡意程式 App 數量,正式突破 200 萬! 半 年內數字翻倍,成長速度驚人 » http://iservice.libertytimes.com.tw/3c/news.php?no=12190&type=5 » 這是假的!廣告訊息告知手機用戶已中毒 催促下 載防毒 App  » http://news.networkmagazine.com.tw/classification/security/ 2013/12/26/62134/ » PChome 相簿上鎖無用 手機瀏覽看光光 » http://www.appledaily.com.tw/realtimenews/article/new/ 20140210/341223/
    • 行動裝置真的安全嗎 •行動上網人口已逾 4 成 資安因素阻礙網路購物、 網路金融 » http://www.informationsecurity.com.tw/article/article_detail.aspx? tv=71&aid=7649 •台行動上網遭駭 恐列全球前 5 » http://udn.com/NEWS/BREAKINGNEWS/ BREAKINGNEWS6/8528942.shtmL » HP:90% 的 Apple iOS 行動應用程式有安全漏洞 » http://news.networkmagazine.com.tw/classification/security/ 2013/11/19/60303/
    • 手機出廠內建惡意程式 •在Samsung、Motorola、LG、ASUS 等廠牌的新出 場手機之中,找到偽造成 Netflix 的惡意程式,傳 送密碼及信用卡號至俄羅斯。 • http://www.computerworld.com/s/article/9246764/ Pre_installed_malware_found_on_new_Android_phones
    • 2013 年 19.04% Android 惡意程式竊取個人資料 http://blog.trendmicro.com/trendlabs-security-intelligence/looking-forward-into-2014-what-2013s-mobile-threats-mean-moving-forward/
    • 90% 的 Apple iOS 行動應 用程式有安全漏洞 •惠普(HP)今天表示,在針對超過2,000件專為商務 應用而開發,且被50國約600家大型企業所使用 之iOS行動應用程式的安全測試中發現,有9/10的 應用程式存在重大安全漏洞。 http://news.networkmagazine.com.tw/classification/security/2013/11/19/60303/
    • 90% 的 Apple iOS 行動應 用程式有安全漏洞 •HP指出這些應用程式中,有97%的軟體會存取裝 置中的私人資訊來源,同時有86%的比例,證實 有招致資料隱碼(SQL Injection)等攻擊風險的安全 漏洞。 •在該測試總結中,HP指出,86%的受測應用程式, 缺乏保護自己免受諸如加密資料的誤用、跨站腳 本攻擊(Cross-Site Scripting, XSS)及不安全的資料 傳輸等常見漏洞攻擊的安全措施。 http://news.networkmagazine.com.tw/classification/security/2013/11/19/60303/
    • 資安與個資議題 •惡意程式攻擊 •個資外洩 •手機遺失 •手機使用不當 •企業環境中面臨的風險
    • 智慧型手機的規格 •硬體 •CPU:2GHz、四核心 •GPU:PowerVR / Adreno •記憶體:1GB ~ 3GB •網路 •3G、HSDPA •WiMax、LTE •Bluetooth、Wi-Fi •IR、NFC 感應卡! •敏感資料 –通話記錄 –簡訊、郵件、即時通訊 –聯絡人、社群網路 –照相機、錄音 –GPS 定位
    • 強大功能的危機? •持續連線的網路 -> 方便攻擊者隨時控制 •攝影鏡頭 -> 隨時錄影及拍照 •錄音程式 -> 隨時錄音 •GPS 定位 -> 回報位置 •帳號密碼 -> 竊取帳號密碼 •通訊錄及簡訊 -> 竊取個資並進行社交工程
    • 惡意程式 •竊取機敏資料 •帳號密碼 •通訊錄 •簡訊 •記憶卡中的資料 •信用卡等財務資料 •公司業務資料
    • 惡意程式 •攻擊作業系統 •使用現有的系統漏洞或未知的 0-Day 攻擊 •取得最高系統權限 •放置後門及竊取資料 •甚至將手機建置成 Botnet 的一員
    • 惡意程式 •盜打電話及簡訊 •惡意的撥打電話及發送簡訊 •發送付費簡訊 •增加受害者花費
    • 手機遺失 •手機等同電腦,在手機上使用越多服務,更要注 意手機遺失的風險 •手機若無上鎖加密,遺失手機等於將個人機敏資 料雙手奉上 •安裝尋找手機、遠端消除手機資料之軟體
    • 企業環境中面臨的風險 •3G 網路分享,導致內網外網混接 •造成公司內部資訊外洩 ! •惡意程式造成手機內的簡訊、信件、帳號密碼、 信用卡資訊、機敏資料等個資外洩,間接造成企 業風險
    • 應對方案 •更新手機的作業系統 •可無線上網之智慧型手機進行列管 •手機等同電腦,資安概念也必須對應到手機上 •建立遺失手機的對應方案
    • 行動裝置攻擊手法剖析
    • Android Architecture
    • Android Architecture
    • Kernel 層級漏洞 •CVE-2012-0056 gain privileges by modify process memory (/proc/pid/mem) •CVE-2013-2094 gain privileges via a crafted perf_event_open system call •CVE-2013-1773 gain privileges or cause a denial of service (system crash) via buffer overflow in the VFAT
    • Android Architecture
    • [WebKit] Use-After-Free Remote Code Execution ref: http://packetstormsecurity.com/files/cve/CVE-2010-1807
    • Android Architecture
    • Android Master Key Debacle ref: http://nakedsecurity.sophos.com/2013/07/10/anatomy-of-a-security-hole-googles-android-master-key-debacle-explained/
    • 802.1X Password Exploit ref: http://blog.mywarwithentropy.com/2012/02/8021x-password-exploit-on-many-htc.html
    • Android Architecture
    • ADB-Savvy Thieves
    • Android Architecture
    • Insecure Data Storage •手機 App 在存放資料時,沒有設定好完整安全的權限。可 能導致惡意程式竊取 App 的資料,例如帳號、密碼、對話 記錄、簡訊等機敏資料。 •存放方式如 » Shared Preferences » File » Database » Content Provider » External Storage (ex. SDCard)
    • Skype ref: http://www.androidpolice.com/2011/04/14/exclusive-vulnerability-in-skype- for-android-is-exposing-your-name-phone-number-chat-logs-and-a-lot-more/
    • # ls -l /data/data/com.skype.merlin_mecha/files/shared.xml 
 -rw-rw-rw- app_152 app_152 56136 2011-04-13 00:07 shared.xml # grep Default /data/data/com.skype.merlin_mecha/files/shared.xml 
 <Default>jcaseap</Default> ! # ls -l /data/data/com.skype.merlin_mecha/files/jcaseap 
 -rw-rw-rw- app_152 app_152 331776 2011-04-13 00:08 main.db 
 -rw-rw-rw- app_152 app_152 119528 2011-04-13 00:08 main.db-journal 
 -rw-rw-rw- app_152 app_152 40960 2011-04-11 14:05 keyval.db 
 -rw-rw-rw- app_152 app_152 3522 2011-04-12 23:39 config.xml 
 drwxrwxrwx app_152 app_152 2011-04-11 14:05 voicemail 
 -rw-rw-rw- app_152 app_152 0 2011-04-11 14:05 config.lck 
 -rw-rw-rw- app_152 app_152 61440 2011-04-13 00:08 bistats.db 
 drwxrwxrwx app_152 app_152 2011-04-12 21:49 chatsync 
 -rw-rw-rw- app_152 app_152 12824 2011-04-11 14:05 keyval.db-journal 
 -rw-rw-rw- app_152 app_152 33344 2011-04-13 00:08 bistats.db-journal
    • Client Side Injection •經由手機端利用 App 來竄改、惡意利用使用者的 資料,或者是經由 App 攻擊手機本身取得權限。
    • Demo •利用手機惡意程式盜取使用者 Facebook 帳號,讀 取帳號中的照片。
    • 應用程式安全開發指引
    • 如何確保應用程式安全 •主管機關如何把關程式安全? » 清楚定義產品規格、安全規格 » 要求實作單位進行滲透測試,並明定測試項目、 方式、結果,必要求修復後複測。 » 應用程式連接之伺服器須架構明確並進行保 護。 » 使用 SDLC 開發流程
    • Security Development Life Cycle (SDLC) •訓練、需求、設計、實作、驗證、發行、回應
    • 如何確保應用程式安全 » 尋找可靠的第三方安全顧問公司進行測試 •黑箱測試(Black-Box Test) » 模擬駭客的角度,測試應用程式的安全風險。 如進行滲透測試。 •白箱測試(White-Box Test) » 針對原始碼進行原碼檢測(Code Review),從 原始碼中尋找安全風險。
    • 如何確保應用程式安全 •知道風險的所在 » 應用程式(App)隨時與伺服器連接,伺服器 的安全會是一大重點。除了應用程式安全之 外,更要加強伺服器安全。 » 與應用程式連接之伺服器進行隔離及管控。 » SQL Injection 等風險為個資外洩主要管道。
    • Android 防護
    • Q & A