SlideShare a Scribd company logo

Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?

Connected-Blog
Connected-Blog

M-Days 2012 Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.? Marco Di Filippo, Compass Security AG Das Blog der Messe Frankfurt zur Digitalisierung des Geschäftslebens: http://connected.messefrankfurt.com/de/

Technology
1 of 44
Compass Security AG [The ICT-Security Experts] Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.? [M-Days 2012 Frankfurt – 02.02.2012] Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Marco Di Filippo Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
Übrigens: Heute müssen Sie Ihr Telefon nicht ausschalten. Ich empfehle jedoch den Stumm-Modus ;-) Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
Das Team © Compass Security AG www.csnc.ch Slide 6
Compass Security AG Womit verdienen wir unser Geld? Wir prüfen mit Techniken und Methoden eines Angreifers, ob sich unbefugt in das klar definierte Zielsystem eindringen lässt © Compass Security AG www.csnc.ch Slide 7
Die „ Erfolgsstory“ Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
Die Gegenwart 2008: Einführung der Dienstleistung „Smartphone Security“ Resonanz: Eine Anfrage pro Quartal 2012: Positionierung der Dienstleistung „Smartphone Security“ Aktuell: 4-6 Anfragen pro Woche ☺ © Compass Security AG www.csnc.ch Slide 11
Die Gegenwart Mediaphone? Situation im Unternehmen: Got Boss, got Mediaphone? Passt ein Mediaphone ins Unternehmen? Nein! … Eigentlich nicht! ... Es sei denn… Wie kommt es dann, dass dennoch so viele Mediaphones in Unternehmen auftauchen? I am the But Boss, However…I am the Mediaphones are Boss…go get me an Boss…go get the source of all me an Mediaphone! evil. It‘s so Mediaphone! vulnerable. We would expose our Oh… network, open the firewall, data ?! *sigh* leakage and much more!!! © Copyright Slideconcept Integralis © Compass Security AG www.csnc.ch Slide 13
Die Gegenwart 47% aller Handynutzer haben laut BSI noch nie ein Sicherheitsupdate aufgespielt © Compass Security AG www.csnc.ch Slide 14
Das Mobile Netzwerk Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
Mobile Network Architecture Ansatzpunkte möglicher Manipulationen © Compass Security AG www.csnc.ch Slide 16
Eingriff in die Luftschnittstelle Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
Simulation einer BTS BTS =CellID © Compass Security AG www.csnc.ch Slide 57
The OpenBTS Project Das OpenBTS Projekt simuliert eine GSM-Funkzelle Open-Source Unix Applikation Nutzt das Universal Software Radio Peripheral (USRP) www.ettus.com Stellt ein GSM-Funkzelle zur Verfügung Nutzt die Open-Source Asterisk Software PBX zum Connectieren der Calls Siehe auch http://openbts.sourceforge.net/ © Compass Security AG www.csnc.ch Slide 58
LiveDemo [OpenBTS] + Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
The OpenBSC Project Forciert die Entwicklung eines Open-Source Base-Station- Controllers (BSC) für GSM-Netze Wurde auf dem Chaos Communication Congress 2008 vorgestellt Simmuliert einen BSC Die Software beherrscht SMS-Versand und das Durchstellen von Gesprächen. Momentan werden Softwareseitig folgende BTSen unterstützt: BS11 mikro BTS von Siemens (E1 Primärmultiplex Schnittstelle) ip.access nano BTS (PoE Schnittstelle) Siehe auch http://openbsc.gnumonks.org/trac/wiki/OpenBSC © Compass Security AG www.csnc.ch Slide 60
The OsmocomBB Project Auch mit günstigen Handy‘s ist das GSM-Sniffing möglich Wurde auf dem Chaos Communication Congress 2010 durch Karsten Nohl vorgestellt Kostengünstiger GSM-Sniffer Debugger für eigene Calls Single timeslot sniffer Multi timeslot sniffer Uplink + downlink sniffer Siehe auch http://bb.osmocom.org/trac/ © Compass Security AG www.csnc.ch Slide 61
LiveDemo [OsmocomBB] + Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
Please Call Me [+49 171 9133185] Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
Smartphone DoS Mögliches Verhalten… © Compass Security AG www.csnc.ch Slide 64
Identifikationsfälschung [Call-ID-Spoofing] Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
Call-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? Oft dient die Rufnummer (CLIP) als Identifikationsmerkmal des Anrufers (z.B. bei Telefongesprächen, Fernzugängen, Anwendungen etc.) Zugriffsbeschränkungen mittels Rufnummernidentifizierung können umgangen, bzw. beim Social-Engineering unterstützend eingesetzt werden. Matching der Rufnummern in EU-Endgeräten erfolgt nur bis zur max. 7. Stelle © Compass Security AG www.csnc.ch Slide 66
Call-ID-Spoofing The Real Word! © Compass Security AG www.csnc.ch Slide 67
Call-ID-Spoofing Anbieter kommerzieller Call-ID-Spoofing-Dienste http://spoofcard.com © Compass Security AG www.csnc.ch Slide 68
Call-ID-Spoofing Werkzeuge zum Call-ID-Spoofing Telefonanschluss mit Dienstmerkmal CLIP -no screening- oder SIP-Gateway ins PSTN (z.B. www.sipgate.de) Softphone (z.B. www.phoner.de) © Compass Security AG www.csnc.ch Slide 69
LiveDemo [Call-ID-Spoofing] + Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
Call-ID-Spoofing (MITM-Angriff) Call-ID-Spoofing- Call-ID-Spoofing-Angriff Eingehender Anruf: +49666666666666 Paris Hilton Freiton © Compass Security AG www.csnc.ch Slide 71
Identifikationsfälschung [SMS-ID-Spoofing] Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
SMS-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? Ähnlich wie mittels Rufnummernidentifizierung kann Social- Engineering unterstützend eingesetzt werden. Anstatt Nummern-Identifizierung kann der Absender direkt benannt werden. Phishing via SMS ist noch weitgehend unbekannt und daher aussichtsreicher. Keine Content-Filter vorhanden (wie z.B. bei E-Mails) © Compass Security AG www.csnc.ch Slide 77
SMS-ID-Spoofing Beispiel: SMS-Phishing mittels SMS-Spoofing Beispiel einer Phishing-SMS Originalnachricht des Netz- betreibers © Compass Security AG www.csnc.ch Slide 78
SMS-ID-Spoofing Beispiel: SMS-Phishing mittels SMS-Spoofing Beispiel einer Phishing-SMS Gefälschte Nachricht auf Grundlage der Netzbetreiber-SMS © Compass Security AG www.csnc.ch Slide 79
SMS-ID-Spoofing Beispiel: SMS-Phishing mittels SMS-Spoofing Den Wettbewerber zuhause lassen © Compass Security AG www.csnc.ch Slide 80
SMS-ID-Spoofing Beispiele © Compass Security AG www.csnc.ch Slide 81
SMS-ID-Spoofing Werkzeuge zum SMS-ID-Spoofing Anbindung an einem SMS-Hub eines Providers (z.B. www.routomessaging.com) oder Short Message Service Centre (SMSC) mit UCP Zugangsprotokoll Beispielsweise: Germany D2 01722278020 8n1 UCP Switzerland Swisscom 079 4998990 8n1 UCP Schnittstelle als Provider ans SS7 Übertragung zwischen MSC und SMSC erfolgt im MAP (Mobile Application Part) des SS7 © Compass Security AG www.csnc.ch Slide 82
LiveDemo [SMS-ID-Spoofing] Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
LiveDemo [Capture the (Apple) iCloud] + Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
Capture the (Apple) iCloud So sollte eine Cloud sein: automatisch und einfach. Usern stehen jederzeit ihre Files zur Verfügung User hat Zugriff auf seinen PIM (Kalender, eMail, Aufgaben etc.) User kann seine Geräte orten User kann Backup in Cloud speichern © Compass Security AG www.csnc.ch Slide 85
Capture the (Apple) iCloud So sollte eine Cloud sein: automatisch und einfach. Angreifern stehen jederzeit Ihre Files zur Verfügung Angreifer haben Zugriff auf Ihren PIM (Kalender, eMail, Aufgaben etc.) Angreifer können Ihre Geräte orten Angreifer können Backup aus der Cloud holen © Compass Security AG www.csnc.ch Slide 86
Capture the (Apple) iCloud © Compass Security AG www.csnc.ch Slide 87
Capture the (Apple) iCloud Noch einfacher... © Compass Security AG www.csnc.ch Slide 88
Resümee Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
Resümee Beziehen Sie mobile Endgeräte unbedingt in Ihren Security Überlegungen mit ein! Ansatzpunkte: Sensibilisierung der Anwender Implementierung eines Mobile Device Managements (siehe auch Open Mobile Alliance Standard – OMA Device Management) Backup Update Sicherheitseinstellungen Fernlöschung und Ortung bei Diebstahl Verwendung von Firewall und Virenscanner (ggf. von Drittanbietern) Reglementierung von Anwenderzugriffen Passwort-Richtlinien © Compass Security AG www.csnc.ch Slide 128
Offene Diskussion Fragen?! © Compass Security AG www.csnc.ch Slide 129
Vielen Dank! Vielen Dank für Ihre Aufmerksamkeit! © Compass Security AG www.csnc.ch Slide 130
Kontakt Compass Security Network Computing Werkstrasse 20 Postfach 2038 CH - 8645 Jona team@csnc.ch | www.csnc.ch | +41 55 214 41 60 Secure File Exchange: www.csnc.ch/filebox PGP-Fingerprint: © Compass Security AG www.csnc.ch Slide 131

Recommended

Kostentreiber bei der iOS-Entwicklung
Kostentreiber bei der iOS-EntwicklungKostentreiber bei der iOS-Entwicklung
Kostentreiber bei der iOS-Entwicklungxrb
 
Semantic Pattern Transformation
Semantic Pattern TransformationSemantic Pattern Transformation
Semantic Pattern TransformationPeter Teufl
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Tim Cole
 
iOS secure app development
iOS secure app developmentiOS secure app development
iOS secure app developmentDusan Klinec
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile securityPeter Teufl
 
Das iPad sicher im Unternehmen einsetzen
Das iPad sicher im Unternehmen einsetzenDas iPad sicher im Unternehmen einsetzen
Das iPad sicher im Unternehmen einsetzenjekel & team
 
MDM - airwatch
MDM - airwatchMDM - airwatch
MDM - airwatchBharat Sinha
 
Security Building Blocks of the IBM Cloud Computing Reference Architecture
Security Building Blocks of the IBM Cloud Computing Reference ArchitectureSecurity Building Blocks of the IBM Cloud Computing Reference Architecture
Security Building Blocks of the IBM Cloud Computing Reference ArchitectureStefaan Van daele
 

Recommended

Kostentreiber bei der iOS-Entwicklung
Kostentreiber bei der iOS-EntwicklungKostentreiber bei der iOS-Entwicklung
Kostentreiber bei der iOS-Entwicklungxrb
 
Semantic Pattern Transformation
Semantic Pattern TransformationSemantic Pattern Transformation
Semantic Pattern TransformationPeter Teufl
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Tim Cole
 
iOS secure app development
iOS secure app developmentiOS secure app development
iOS secure app developmentDusan Klinec
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile securityPeter Teufl
 
Das iPad sicher im Unternehmen einsetzen
Das iPad sicher im Unternehmen einsetzenDas iPad sicher im Unternehmen einsetzen
Das iPad sicher im Unternehmen einsetzenjekel & team
 
MDM - airwatch
MDM - airwatchMDM - airwatch
MDM - airwatchBharat Sinha
 
Security Building Blocks of the IBM Cloud Computing Reference Architecture
Security Building Blocks of the IBM Cloud Computing Reference ArchitectureSecurity Building Blocks of the IBM Cloud Computing Reference Architecture
Security Building Blocks of the IBM Cloud Computing Reference ArchitectureStefaan Van daele
 
AirWatch Solution Overview
AirWatch Solution OverviewAirWatch Solution Overview
AirWatch Solution OverviewProyet Kft
 
Mobile Sicherheit Basics
Mobile Sicherheit BasicsMobile Sicherheit Basics
Mobile Sicherheit BasicsLookout
 
PROYECTO GRUPO 6
PROYECTO GRUPO 6PROYECTO GRUPO 6
PROYECTO GRUPO 6Dayana Mora
 
Organitzar les tardes
Organitzar les tardesOrganitzar les tardes
Organitzar les tardesElena Garcia Morell
 
Antigua
AntiguaAntigua
Antiguarhparra525
 
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...Microsoft Décideurs IT
 
Rw3 09 hayashi3
Rw3 09 hayashi3Rw3 09 hayashi3
Rw3 09 hayashi3Artedesorrir
 
Herramientas web 2
Herramientas web 2Herramientas web 2
Herramientas web 2jestefanyviviana
 
Reinosa
ReinosaReinosa
ReinosaSanJoseAleman
 
Linux modules d
Linux modules dLinux modules d
Linux modules dFrançoise Grave
 
APA
APAAPA
APAIsabelAburto
 
Porsche cayenne mj09_mc_bluetooth_pd
Porsche cayenne mj09_mc_bluetooth_pdPorsche cayenne mj09_mc_bluetooth_pd
Porsche cayenne mj09_mc_bluetooth_pdCowboy's Thoughts
 
PROYECTO GRUPO 7
PROYECTO GRUPO 7PROYECTO GRUPO 7
PROYECTO GRUPO 7Dayana Mora
 
La fiscalité vue par philippe labro
La fiscalité vue par philippe labroLa fiscalité vue par philippe labro
La fiscalité vue par philippe labroDenis Papy
 
Miradaespecial
MiradaespecialMiradaespecial
MiradaespecialAndres Sotomayor
 
Bmw bike k1300 gt_flyer_din
Bmw bike k1300 gt_flyer_dinBmw bike k1300 gt_flyer_din
Bmw bike k1300 gt_flyer_dinCowboy's Thoughts
 
Estrategias de innovacion
Estrategias de innovacionEstrategias de innovacion
Estrategias de innovacionPANADIA
 
Préfaces Guide des expertes 2013
Préfaces Guide des expertes 2013Préfaces Guide des expertes 2013
Préfaces Guide des expertes 2013expertes
 
Cyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieCyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieFlorian Brunner
 
FKT Mediadaten 2010
FKT Mediadaten 2010FKT Mediadaten 2010
FKT Mediadaten 2010guest91e476f
 
CCC beim 21. IndustrieTag InformationsTechnologie der Uni Halle
CCC beim 21. IndustrieTag InformationsTechnologie der Uni HalleCCC beim 21. IndustrieTag InformationsTechnologie der Uni Halle
CCC beim 21. IndustrieTag InformationsTechnologie der Uni Hallecccsportsoftware
 
T&s mobile kundendialoglösungen
T&s mobile kundendialoglösungenT&s mobile kundendialoglösungen
T&s mobile kundendialoglösungenTeleconnect & Service GmbH
 

More Related Content

Viewers also liked

AirWatch Solution Overview
AirWatch Solution OverviewAirWatch Solution Overview
AirWatch Solution OverviewProyet Kft
 
Mobile Sicherheit Basics
Mobile Sicherheit BasicsMobile Sicherheit Basics
Mobile Sicherheit BasicsLookout
 
PROYECTO GRUPO 6
PROYECTO GRUPO 6PROYECTO GRUPO 6
PROYECTO GRUPO 6Dayana Mora
 
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...Microsoft Décideurs IT
 
Porsche cayenne mj09_mc_bluetooth_pd
Porsche cayenne mj09_mc_bluetooth_pdPorsche cayenne mj09_mc_bluetooth_pd
Porsche cayenne mj09_mc_bluetooth_pdCowboy's Thoughts
 
PROYECTO GRUPO 7
PROYECTO GRUPO 7PROYECTO GRUPO 7
PROYECTO GRUPO 7Dayana Mora
 
La fiscalité vue par philippe labro
La fiscalité vue par philippe labroLa fiscalité vue par philippe labro
La fiscalité vue par philippe labroDenis Papy
 
Estrategias de innovacion
Estrategias de innovacionEstrategias de innovacion
Estrategias de innovacionPANADIA
 
Préfaces Guide des expertes 2013
Préfaces Guide des expertes 2013Préfaces Guide des expertes 2013
Préfaces Guide des expertes 2013expertes
 

Viewers also liked (18)

AirWatch Solution Overview
AirWatch Solution OverviewAirWatch Solution Overview
AirWatch Solution Overview
 
Mobile Sicherheit Basics
Mobile Sicherheit BasicsMobile Sicherheit Basics
Mobile Sicherheit Basics
 
PROYECTO GRUPO 6
PROYECTO GRUPO 6PROYECTO GRUPO 6
PROYECTO GRUPO 6
 
Organitzar les tardes
Organitzar les tardesOrganitzar les tardes
Organitzar les tardes
 
Antigua
AntiguaAntigua
Antigua
 
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...
 
Rw3 09 hayashi3
Rw3 09 hayashi3Rw3 09 hayashi3
Rw3 09 hayashi3
 
Herramientas web 2
Herramientas web 2Herramientas web 2
Herramientas web 2
 
Reinosa
ReinosaReinosa
Reinosa
 
Linux modules d
Linux modules dLinux modules d
Linux modules d
 
APA
APAAPA
APA
 
Porsche cayenne mj09_mc_bluetooth_pd
Porsche cayenne mj09_mc_bluetooth_pdPorsche cayenne mj09_mc_bluetooth_pd
Porsche cayenne mj09_mc_bluetooth_pd
 
PROYECTO GRUPO 7
PROYECTO GRUPO 7PROYECTO GRUPO 7
PROYECTO GRUPO 7
 
La fiscalité vue par philippe labro
La fiscalité vue par philippe labroLa fiscalité vue par philippe labro
La fiscalité vue par philippe labro
 
Miradaespecial
MiradaespecialMiradaespecial
Miradaespecial
 
Bmw bike k1300 gt_flyer_din
Bmw bike k1300 gt_flyer_dinBmw bike k1300 gt_flyer_din
Bmw bike k1300 gt_flyer_din
 
Estrategias de innovacion
Estrategias de innovacionEstrategias de innovacion
Estrategias de innovacion
 
Préfaces Guide des expertes 2013
Préfaces Guide des expertes 2013Préfaces Guide des expertes 2013
Préfaces Guide des expertes 2013
 

Similar to Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?

Cyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieCyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieFlorian Brunner
 
FKT Mediadaten 2010
FKT Mediadaten 2010FKT Mediadaten 2010
FKT Mediadaten 2010guest91e476f
 
CCC beim 21. IndustrieTag InformationsTechnologie der Uni Halle
CCC beim 21. IndustrieTag InformationsTechnologie der Uni HalleCCC beim 21. IndustrieTag InformationsTechnologie der Uni Halle
CCC beim 21. IndustrieTag InformationsTechnologie der Uni Hallecccsportsoftware
 
Barrierefreie Internet- und Intranetseiten mit Sharepoint Server
Barrierefreie Internet- und Intranetseiten mit Sharepoint ServerBarrierefreie Internet- und Intranetseiten mit Sharepoint Server
Barrierefreie Internet- und Intranetseiten mit Sharepoint Serverguestec16723
 
Barrierefreie Internet und Intranet Seiten mit Sharepoint Server - allgemein
Barrierefreie Internet und Intranet Seiten mit Sharepoint Server - allgemeinBarrierefreie Internet und Intranet Seiten mit Sharepoint Server - allgemein
Barrierefreie Internet und Intranet Seiten mit Sharepoint Server - allgemeinSharepointUGDD
 
Infineon: Press Release - Power Mosfets - 650v coolmos
Infineon: Press Release - Power Mosfets - 650v coolmosInfineon: Press Release - Power Mosfets - 650v coolmos
Infineon: Press Release - Power Mosfets - 650v coolmosAnnabelleZet
 
Wildix German Convention Presentations 2017 | Frankfurt am Main
Wildix German Convention Presentations 2017 | Frankfurt am MainWildix German Convention Presentations 2017 | Frankfurt am Main
Wildix German Convention Presentations 2017 | Frankfurt am MainWildix
 
Die hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu versteckenDie hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu versteckenteam-WIBU
 
Die Cloud Telefonanlage von vio:networks
Die Cloud Telefonanlage von vio:networksDie Cloud Telefonanlage von vio:networks
Die Cloud Telefonanlage von vio:networksDominikMauritz1
 
#GATEMAKO Keynote Oppermann VR/AR
#GATEMAKO Keynote Oppermann VR/AR#GATEMAKO Keynote Oppermann VR/AR
#GATEMAKO Keynote Oppermann VR/ARLeif Oppermann
 
EINLADUNG! Workshop am 19. September 2016 im Victor´s Residenz-Hotel München
EINLADUNG! Workshop am 19. September 2016 im Victor´s Residenz-Hotel MünchenEINLADUNG! Workshop am 19. September 2016 im Victor´s Residenz-Hotel München
EINLADUNG! Workshop am 19. September 2016 im Victor´s Residenz-Hotel MünchenAtlantik Systeme GmbH
 
Moxie software digital customer engagement plattform
Moxie software digital customer engagement plattformMoxie software digital customer engagement plattform
Moxie software digital customer engagement plattformTeleconnect & Service GmbH
 
Microsharing Im Unternehmen: Wie Dokumentieren und Lernen Teil der täglichen ...
Microsharing Im Unternehmen: Wie Dokumentieren und Lernen Teil der täglichen ...Microsharing Im Unternehmen: Wie Dokumentieren und Lernen Teil der täglichen ...
Microsharing Im Unternehmen: Wie Dokumentieren und Lernen Teil der täglichen ...Communardo GmbH
 
Communote ist Open Source
Communote ist Open SourceCommunote ist Open Source
Communote ist Open SourceCommunardo GmbH
 
Communote wird OpenSource
Communote wird OpenSourceCommunote wird OpenSource
Communote wird OpenSourceCommunote GmbH
 

Similar to Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.? (20)

Cyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieCyber Security für vernetzte Industrie
Cyber Security für vernetzte Industrie
 
FKT Mediadaten 2010
FKT Mediadaten 2010FKT Mediadaten 2010
FKT Mediadaten 2010
 
CCC beim 21. IndustrieTag InformationsTechnologie der Uni Halle
CCC beim 21. IndustrieTag InformationsTechnologie der Uni HalleCCC beim 21. IndustrieTag InformationsTechnologie der Uni Halle
CCC beim 21. IndustrieTag InformationsTechnologie der Uni Halle
 
T&s mobile kundendialoglösungen
T&s mobile kundendialoglösungenT&s mobile kundendialoglösungen
T&s mobile kundendialoglösungen
 
Interaktive Schaufenster
Interaktive SchaufensterInteraktive Schaufenster
Interaktive Schaufenster
 
Webadresse
WebadresseWebadresse
Webadresse
 
Barrierefreie Internet- und Intranetseiten mit Sharepoint Server
Barrierefreie Internet- und Intranetseiten mit Sharepoint ServerBarrierefreie Internet- und Intranetseiten mit Sharepoint Server
Barrierefreie Internet- und Intranetseiten mit Sharepoint Server
 
Barrierefreie Internet und Intranet Seiten mit Sharepoint Server - allgemein
Barrierefreie Internet und Intranet Seiten mit Sharepoint Server - allgemeinBarrierefreie Internet und Intranet Seiten mit Sharepoint Server - allgemein
Barrierefreie Internet und Intranet Seiten mit Sharepoint Server - allgemein
 
Infineon: Press Release - Power Mosfets - 650v coolmos
Infineon: Press Release - Power Mosfets - 650v coolmosInfineon: Press Release - Power Mosfets - 650v coolmos
Infineon: Press Release - Power Mosfets - 650v coolmos
 
Wildix German Convention Presentations 2017 | Frankfurt am Main
Wildix German Convention Presentations 2017 | Frankfurt am MainWildix German Convention Presentations 2017 | Frankfurt am Main
Wildix German Convention Presentations 2017 | Frankfurt am Main
 
boxcryptor pitch deck
boxcryptor pitch deck boxcryptor pitch deck
boxcryptor pitch deck
 
Die hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu versteckenDie hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu verstecken
 
Die Cloud Telefonanlage von vio:networks
Die Cloud Telefonanlage von vio:networksDie Cloud Telefonanlage von vio:networks
Die Cloud Telefonanlage von vio:networks
 
#GATEMAKO Keynote Oppermann VR/AR
#GATEMAKO Keynote Oppermann VR/AR#GATEMAKO Keynote Oppermann VR/AR
#GATEMAKO Keynote Oppermann VR/AR
 
EINLADUNG! Workshop am 19. September 2016 im Victor´s Residenz-Hotel München
EINLADUNG! Workshop am 19. September 2016 im Victor´s Residenz-Hotel MünchenEINLADUNG! Workshop am 19. September 2016 im Victor´s Residenz-Hotel München
EINLADUNG! Workshop am 19. September 2016 im Victor´s Residenz-Hotel München
 
Moxie software digital customer engagement plattform
Moxie software digital customer engagement plattformMoxie software digital customer engagement plattform
Moxie software digital customer engagement plattform
 
INNOVATIONSPREIS-IT 2010 - Siegerliste.pdf
INNOVATIONSPREIS-IT 2010 - Siegerliste.pdfINNOVATIONSPREIS-IT 2010 - Siegerliste.pdf
INNOVATIONSPREIS-IT 2010 - Siegerliste.pdf
 
Microsharing Im Unternehmen: Wie Dokumentieren und Lernen Teil der täglichen ...
Microsharing Im Unternehmen: Wie Dokumentieren und Lernen Teil der täglichen ...Microsharing Im Unternehmen: Wie Dokumentieren und Lernen Teil der täglichen ...
Microsharing Im Unternehmen: Wie Dokumentieren und Lernen Teil der täglichen ...
 
Communote ist Open Source
Communote ist Open SourceCommunote ist Open Source
Communote ist Open Source
 
Communote wird OpenSource
Communote wird OpenSourceCommunote wird OpenSource
Communote wird OpenSource
 

More from Connected-Blog

Ergebnisse Hypermotion Studie Digitalisierung und Mobilitaet
Ergebnisse Hypermotion Studie Digitalisierung und MobilitaetErgebnisse Hypermotion Studie Digitalisierung und Mobilitaet
Ergebnisse Hypermotion Studie Digitalisierung und MobilitaetConnected-Blog
 
Study “Digital Business Transformation” shows varying perspectives among Germ...
Study “Digital Business Transformation” shows varying perspectives among Germ...Study “Digital Business Transformation” shows varying perspectives among Germ...
Study “Digital Business Transformation” shows varying perspectives among Germ...Connected-Blog
 
Studie zu Digital Business Transformation
Studie zu Digital Business TransformationStudie zu Digital Business Transformation
Studie zu Digital Business TransformationConnected-Blog
 
Malerische Wohnideen - Online-Marketing bei einem kleinen Handwerksbetrieb
Malerische Wohnideen - Online-Marketing bei einem kleinen HandwerksbetriebMalerische Wohnideen - Online-Marketing bei einem kleinen Handwerksbetrieb
Malerische Wohnideen - Online-Marketing bei einem kleinen HandwerksbetriebConnected-Blog
 
Social Media als Akquisetool
Social Media als AkquisetoolSocial Media als Akquisetool
Social Media als AkquisetoolConnected-Blog
 
Im Web-Wunderland - Wie kleine Händler im Web punkten
Im Web-Wunderland - Wie kleine Händler im Web punktenIm Web-Wunderland - Wie kleine Händler im Web punkten
Im Web-Wunderland - Wie kleine Händler im Web punktenConnected-Blog
 
Big Picture im E-Mail Marketing - Vom Traffic bis zum Stammkunden
Big Picture im E-Mail Marketing - Vom Traffic bis zum StammkundenBig Picture im E-Mail Marketing - Vom Traffic bis zum Stammkunden
Big Picture im E-Mail Marketing - Vom Traffic bis zum StammkundenConnected-Blog
 
Erfolgsfaktoren im E-Commerce - Onlinehandel wird persönlich
Erfolgsfaktoren im E-Commerce - Onlinehandel wird persönlich Erfolgsfaktoren im E-Commerce - Onlinehandel wird persönlich
Erfolgsfaktoren im E-Commerce - Onlinehandel wird persönlich Connected-Blog
 
Der neue Kunde kommt mit Handy: Smartphones & digitale Dienste am Point of Sale
Der neue Kunde kommt mit Handy: Smartphones & digitale Dienste am Point of SaleDer neue Kunde kommt mit Handy: Smartphones & digitale Dienste am Point of Sale
Der neue Kunde kommt mit Handy: Smartphones & digitale Dienste am Point of SaleConnected-Blog
 
Google AdWords - Wie Sie den Erfolg Ihrer Werbung messbar machen
Google AdWords - Wie Sie den Erfolg Ihrer Werbung messbar machenGoogle AdWords - Wie Sie den Erfolg Ihrer Werbung messbar machen
Google AdWords - Wie Sie den Erfolg Ihrer Werbung messbar machenConnected-Blog
 
E-Commerce, nicht Onlineshop
E-Commerce, nicht OnlineshopE-Commerce, nicht Onlineshop
E-Commerce, nicht OnlineshopConnected-Blog
 
Zukunft des Einzelhandels - Chancen und Herausforderungen durch E-Commerce
Zukunft des Einzelhandels - Chancen und Herausforderungen durch E-CommerceZukunft des Einzelhandels - Chancen und Herausforderungen durch E-Commerce
Zukunft des Einzelhandels - Chancen und Herausforderungen durch E-CommerceConnected-Blog
 
Chancen im Onlinehandel. Ein Erfahrungsbericht.
Chancen im Onlinehandel. Ein Erfahrungsbericht.Chancen im Onlinehandel. Ein Erfahrungsbericht.
Chancen im Onlinehandel. Ein Erfahrungsbericht.Connected-Blog
 
Stationär und Online - Zwei Wege, ein Ziel: der Kunde
Stationär und Online - Zwei Wege, ein Ziel: der KundeStationär und Online - Zwei Wege, ein Ziel: der Kunde
Stationär und Online - Zwei Wege, ein Ziel: der KundeConnected-Blog
 
Herausforderungen und Zukunftsstrategien für den Handel
Herausforderungen und Zukunftsstrategien für den HandelHerausforderungen und Zukunftsstrategien für den Handel
Herausforderungen und Zukunftsstrategien für den HandelConnected-Blog
 
User Experience Optimierung
User Experience Optimierung User Experience Optimierung
User Experience Optimierung Connected-Blog
 
Retail - Logistik - Onlinehandel
Retail - Logistik - OnlinehandelRetail - Logistik - Onlinehandel
Retail - Logistik - OnlinehandelConnected-Blog
 
Höher. Schneller. Weiter. Die perfekte E-Commerce-Komplettlösung
Höher. Schneller. Weiter. Die perfekte E-Commerce-KomplettlösungHöher. Schneller. Weiter. Die perfekte E-Commerce-Komplettlösung
Höher. Schneller. Weiter. Die perfekte E-Commerce-KomplettlösungConnected-Blog
 
Die eCommerce Strategie von Malerische Wohnideen
Die eCommerce Strategie von Malerische Wohnideen Die eCommerce Strategie von Malerische Wohnideen
Die eCommerce Strategie von Malerische Wohnideen Connected-Blog
 

More from Connected-Blog (20)

Ergebnisse Hypermotion Studie Digitalisierung und Mobilitaet
Ergebnisse Hypermotion Studie Digitalisierung und MobilitaetErgebnisse Hypermotion Studie Digitalisierung und Mobilitaet
Ergebnisse Hypermotion Studie Digitalisierung und Mobilitaet
 
Study “Digital Business Transformation” shows varying perspectives among Germ...
Study “Digital Business Transformation” shows varying perspectives among Germ...Study “Digital Business Transformation” shows varying perspectives among Germ...
Study “Digital Business Transformation” shows varying perspectives among Germ...
 
Studie zu Digital Business Transformation
Studie zu Digital Business TransformationStudie zu Digital Business Transformation
Studie zu Digital Business Transformation
 
Malerische Wohnideen - Online-Marketing bei einem kleinen Handwerksbetrieb
Malerische Wohnideen - Online-Marketing bei einem kleinen HandwerksbetriebMalerische Wohnideen - Online-Marketing bei einem kleinen Handwerksbetrieb
Malerische Wohnideen - Online-Marketing bei einem kleinen Handwerksbetrieb
 
Social Media als Akquisetool
Social Media als AkquisetoolSocial Media als Akquisetool
Social Media als Akquisetool
 
Im Web-Wunderland - Wie kleine Händler im Web punkten
Im Web-Wunderland - Wie kleine Händler im Web punktenIm Web-Wunderland - Wie kleine Händler im Web punkten
Im Web-Wunderland - Wie kleine Händler im Web punkten
 
Big Picture im E-Mail Marketing - Vom Traffic bis zum Stammkunden
Big Picture im E-Mail Marketing - Vom Traffic bis zum StammkundenBig Picture im E-Mail Marketing - Vom Traffic bis zum Stammkunden
Big Picture im E-Mail Marketing - Vom Traffic bis zum Stammkunden
 
Erfolgsfaktoren im E-Commerce - Onlinehandel wird persönlich
Erfolgsfaktoren im E-Commerce - Onlinehandel wird persönlich Erfolgsfaktoren im E-Commerce - Onlinehandel wird persönlich
Erfolgsfaktoren im E-Commerce - Onlinehandel wird persönlich
 
Der neue Kunde kommt mit Handy: Smartphones & digitale Dienste am Point of Sale
Der neue Kunde kommt mit Handy: Smartphones & digitale Dienste am Point of SaleDer neue Kunde kommt mit Handy: Smartphones & digitale Dienste am Point of Sale
Der neue Kunde kommt mit Handy: Smartphones & digitale Dienste am Point of Sale
 
Google AdWords - Wie Sie den Erfolg Ihrer Werbung messbar machen
Google AdWords - Wie Sie den Erfolg Ihrer Werbung messbar machenGoogle AdWords - Wie Sie den Erfolg Ihrer Werbung messbar machen
Google AdWords - Wie Sie den Erfolg Ihrer Werbung messbar machen
 
E-Commerce, nicht Onlineshop
E-Commerce, nicht OnlineshopE-Commerce, nicht Onlineshop
E-Commerce, nicht Onlineshop
 
Zukunft des Einzelhandels - Chancen und Herausforderungen durch E-Commerce
Zukunft des Einzelhandels - Chancen und Herausforderungen durch E-CommerceZukunft des Einzelhandels - Chancen und Herausforderungen durch E-Commerce
Zukunft des Einzelhandels - Chancen und Herausforderungen durch E-Commerce
 
Chancen im Onlinehandel. Ein Erfahrungsbericht.
Chancen im Onlinehandel. Ein Erfahrungsbericht.Chancen im Onlinehandel. Ein Erfahrungsbericht.
Chancen im Onlinehandel. Ein Erfahrungsbericht.
 
Stationär und Online - Zwei Wege, ein Ziel: der Kunde
Stationär und Online - Zwei Wege, ein Ziel: der KundeStationär und Online - Zwei Wege, ein Ziel: der Kunde
Stationär und Online - Zwei Wege, ein Ziel: der Kunde
 
Herausforderungen und Zukunftsstrategien für den Handel
Herausforderungen und Zukunftsstrategien für den HandelHerausforderungen und Zukunftsstrategien für den Handel
Herausforderungen und Zukunftsstrategien für den Handel
 
User Experience Optimierung
User Experience Optimierung User Experience Optimierung
User Experience Optimierung
 
Shopware
ShopwareShopware
Shopware
 
Retail - Logistik - Onlinehandel
Retail - Logistik - OnlinehandelRetail - Logistik - Onlinehandel
Retail - Logistik - Onlinehandel
 
Höher. Schneller. Weiter. Die perfekte E-Commerce-Komplettlösung
Höher. Schneller. Weiter. Die perfekte E-Commerce-KomplettlösungHöher. Schneller. Weiter. Die perfekte E-Commerce-Komplettlösung
Höher. Schneller. Weiter. Die perfekte E-Commerce-Komplettlösung
 
Die eCommerce Strategie von Malerische Wohnideen
Die eCommerce Strategie von Malerische Wohnideen Die eCommerce Strategie von Malerische Wohnideen
Die eCommerce Strategie von Malerische Wohnideen
 

Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?

  • 1. Compass Security AG [The ICT-Security Experts] Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.? [M-Days 2012 Frankfurt – 02.02.2012] Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Marco Di Filippo Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 2. Übrigens: Heute müssen Sie Ihr Telefon nicht ausschalten. Ich empfehle jedoch den Stumm-Modus ;-) Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 3. Das Team © Compass Security AG www.csnc.ch Slide 6
  • 4. Compass Security AG Womit verdienen wir unser Geld? Wir prüfen mit Techniken und Methoden eines Angreifers, ob sich unbefugt in das klar definierte Zielsystem eindringen lässt © Compass Security AG www.csnc.ch Slide 7
  • 5. Die „ Erfolgsstory“ Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 6. Die Gegenwart 2008: Einführung der Dienstleistung „Smartphone Security“ Resonanz: Eine Anfrage pro Quartal 2012: Positionierung der Dienstleistung „Smartphone Security“ Aktuell: 4-6 Anfragen pro Woche ☺ © Compass Security AG www.csnc.ch Slide 11
  • 7. Die Gegenwart Mediaphone? Situation im Unternehmen: Got Boss, got Mediaphone? Passt ein Mediaphone ins Unternehmen? Nein! … Eigentlich nicht! ... Es sei denn… Wie kommt es dann, dass dennoch so viele Mediaphones in Unternehmen auftauchen? I am the But Boss, However…I am the Mediaphones are Boss…go get me an Boss…go get the source of all me an Mediaphone! evil. It‘s so Mediaphone! vulnerable. We would expose our Oh… network, open the firewall, data ?! *sigh* leakage and much more!!! © Copyright Slideconcept Integralis © Compass Security AG www.csnc.ch Slide 13
  • 8. Die Gegenwart 47% aller Handynutzer haben laut BSI noch nie ein Sicherheitsupdate aufgespielt © Compass Security AG www.csnc.ch Slide 14
  • 9. Das Mobile Netzwerk Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 10. Mobile Network Architecture Ansatzpunkte möglicher Manipulationen © Compass Security AG www.csnc.ch Slide 16
  • 11. Eingriff in die Luftschnittstelle Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 12. Simulation einer BTS BTS =CellID © Compass Security AG www.csnc.ch Slide 57
  • 13. The OpenBTS Project Das OpenBTS Projekt simuliert eine GSM-Funkzelle Open-Source Unix Applikation Nutzt das Universal Software Radio Peripheral (USRP) www.ettus.com Stellt ein GSM-Funkzelle zur Verfügung Nutzt die Open-Source Asterisk Software PBX zum Connectieren der Calls Siehe auch http://openbts.sourceforge.net/ © Compass Security AG www.csnc.ch Slide 58
  • 14. LiveDemo [OpenBTS] + Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 15. The OpenBSC Project Forciert die Entwicklung eines Open-Source Base-Station- Controllers (BSC) für GSM-Netze Wurde auf dem Chaos Communication Congress 2008 vorgestellt Simmuliert einen BSC Die Software beherrscht SMS-Versand und das Durchstellen von Gesprächen. Momentan werden Softwareseitig folgende BTSen unterstützt: BS11 mikro BTS von Siemens (E1 Primärmultiplex Schnittstelle) ip.access nano BTS (PoE Schnittstelle) Siehe auch http://openbsc.gnumonks.org/trac/wiki/OpenBSC © Compass Security AG www.csnc.ch Slide 60
  • 16. The OsmocomBB Project Auch mit günstigen Handy‘s ist das GSM-Sniffing möglich Wurde auf dem Chaos Communication Congress 2010 durch Karsten Nohl vorgestellt Kostengünstiger GSM-Sniffer Debugger für eigene Calls Single timeslot sniffer Multi timeslot sniffer Uplink + downlink sniffer Siehe auch http://bb.osmocom.org/trac/ © Compass Security AG www.csnc.ch Slide 61
  • 17. LiveDemo [OsmocomBB] + Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 18. Please Call Me [+49 171 9133185] Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 19. Smartphone DoS Mögliches Verhalten… © Compass Security AG www.csnc.ch Slide 64
  • 20. Identifikationsfälschung [Call-ID-Spoofing] Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 21. Call-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? Oft dient die Rufnummer (CLIP) als Identifikationsmerkmal des Anrufers (z.B. bei Telefongesprächen, Fernzugängen, Anwendungen etc.) Zugriffsbeschränkungen mittels Rufnummernidentifizierung können umgangen, bzw. beim Social-Engineering unterstützend eingesetzt werden. Matching der Rufnummern in EU-Endgeräten erfolgt nur bis zur max. 7. Stelle © Compass Security AG www.csnc.ch Slide 66
  • 22. Call-ID-Spoofing The Real Word! © Compass Security AG www.csnc.ch Slide 67
  • 23. Call-ID-Spoofing Anbieter kommerzieller Call-ID-Spoofing-Dienste http://spoofcard.com © Compass Security AG www.csnc.ch Slide 68
  • 24. Call-ID-Spoofing Werkzeuge zum Call-ID-Spoofing Telefonanschluss mit Dienstmerkmal CLIP -no screening- oder SIP-Gateway ins PSTN (z.B. www.sipgate.de) Softphone (z.B. www.phoner.de) © Compass Security AG www.csnc.ch Slide 69
  • 25. LiveDemo [Call-ID-Spoofing] + Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 26. Call-ID-Spoofing (MITM-Angriff) Call-ID-Spoofing- Call-ID-Spoofing-Angriff Eingehender Anruf: +49666666666666 Paris Hilton Freiton © Compass Security AG www.csnc.ch Slide 71
  • 27. Identifikationsfälschung [SMS-ID-Spoofing] Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 28. SMS-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? Ähnlich wie mittels Rufnummernidentifizierung kann Social- Engineering unterstützend eingesetzt werden. Anstatt Nummern-Identifizierung kann der Absender direkt benannt werden. Phishing via SMS ist noch weitgehend unbekannt und daher aussichtsreicher. Keine Content-Filter vorhanden (wie z.B. bei E-Mails) © Compass Security AG www.csnc.ch Slide 77
  • 29. SMS-ID-Spoofing Beispiel: SMS-Phishing mittels SMS-Spoofing Beispiel einer Phishing-SMS Originalnachricht des Netz- betreibers © Compass Security AG www.csnc.ch Slide 78
  • 30. SMS-ID-Spoofing Beispiel: SMS-Phishing mittels SMS-Spoofing Beispiel einer Phishing-SMS Gefälschte Nachricht auf Grundlage der Netzbetreiber-SMS © Compass Security AG www.csnc.ch Slide 79
  • 31. SMS-ID-Spoofing Beispiel: SMS-Phishing mittels SMS-Spoofing Den Wettbewerber zuhause lassen © Compass Security AG www.csnc.ch Slide 80
  • 33. SMS-ID-Spoofing Werkzeuge zum SMS-ID-Spoofing Anbindung an einem SMS-Hub eines Providers (z.B. www.routomessaging.com) oder Short Message Service Centre (SMSC) mit UCP Zugangsprotokoll Beispielsweise: Germany D2 01722278020 8n1 UCP Switzerland Swisscom 079 4998990 8n1 UCP Schnittstelle als Provider ans SS7 Übertragung zwischen MSC und SMSC erfolgt im MAP (Mobile Application Part) des SS7 © Compass Security AG www.csnc.ch Slide 82
  • 34. LiveDemo [SMS-ID-Spoofing] Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 35. LiveDemo [Capture the (Apple) iCloud] + Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 36. Capture the (Apple) iCloud So sollte eine Cloud sein: automatisch und einfach. Usern stehen jederzeit ihre Files zur Verfügung User hat Zugriff auf seinen PIM (Kalender, eMail, Aufgaben etc.) User kann seine Geräte orten User kann Backup in Cloud speichern © Compass Security AG www.csnc.ch Slide 85
  • 37. Capture the (Apple) iCloud So sollte eine Cloud sein: automatisch und einfach. Angreifern stehen jederzeit Ihre Files zur Verfügung Angreifer haben Zugriff auf Ihren PIM (Kalender, eMail, Aufgaben etc.) Angreifer können Ihre Geräte orten Angreifer können Backup aus der Cloud holen © Compass Security AG www.csnc.ch Slide 86
  • 38. Capture the (Apple) iCloud © Compass Security AG www.csnc.ch Slide 87
  • 39. Capture the (Apple) iCloud Noch einfacher... © Compass Security AG www.csnc.ch Slide 88
  • 40. Resümee Compass Security AG Tel.+41 55-214 41 60 Werkstrasse 20 Fax+41 55-214 41 61 Postfach 2038 team@csnc.ch CH-8645 Jona www.csnc.ch
  • 41. Resümee Beziehen Sie mobile Endgeräte unbedingt in Ihren Security Überlegungen mit ein! Ansatzpunkte: Sensibilisierung der Anwender Implementierung eines Mobile Device Managements (siehe auch Open Mobile Alliance Standard – OMA Device Management) Backup Update Sicherheitseinstellungen Fernlöschung und Ortung bei Diebstahl Verwendung von Firewall und Virenscanner (ggf. von Drittanbietern) Reglementierung von Anwenderzugriffen Passwort-Richtlinien © Compass Security AG www.csnc.ch Slide 128
  • 42. Offene Diskussion Fragen?! © Compass Security AG www.csnc.ch Slide 129
  • 43. Vielen Dank! Vielen Dank für Ihre Aufmerksamkeit! © Compass Security AG www.csnc.ch Slide 130
  • 44. Kontakt Compass Security Network Computing Werkstrasse 20 Postfach 2038 CH - 8645 Jona team@csnc.ch | www.csnc.ch | +41 55 214 41 60 Secure File Exchange: www.csnc.ch/filebox PGP-Fingerprint: © Compass Security AG www.csnc.ch Slide 131