2006-10-24 - MediaPlaza - Mobile security in a "bring your own device" world

350 views

Published on

A keynote for ICT officers in SME, regarding the security features of Windows Mobile devices, especially the use of Windows Mobile devices in SME environments.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
350
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • Zo gaaf spul dat men het zelf aanschaft, het ideaal van elke ondernemer
  • Altijd bereikbaar voor klanten Altijd e-mail kunnen verwerken, ook al zit je op een congres (stressreductie)
  • Veel bedrijfskritische gegevens! Een overname-afspraak kan zeer gevoelig liggen!!
  • Focus op dat al die gegevens al in die filofax stonden
  • Mijn vader zei vroeger altijd: als je het kwijtraakt, kun je het maar beter goed kwijtraken
  • Remote selfdestruct, the Dell way Weinig gebruikersacceptatie Gezeur met vliegtuigmaatschappijen
  • De el-cheapo oplossing in het buitenland, ook evil twins
  • 2006-10-24 - MediaPlaza - Mobile security in a "bring your own device" world

    1. 1. Mobiele applicaties © 2006 CIBIT | SERC Jaap van Ekris Adviseur/Docent CIBIT|SERC Eigenaar www.modernnomads.info
    2. 2. Beveiliging van devices? <ul><li>60% van de bedrijven kent geen security policy voor PDA’s en GSM’s 1 </li></ul><ul><li>75% van de gebruikers heeft geen enkele beveiliging op zijn device 2 </li></ul>© 2006 CIBIT | SERC 1: Bron: Pointsec security 2: Bron: TNS NFO
    3. 3. Agenda <ul><li>De verleiding (  ) </li></ul><ul><li>De gevaren (  ) </li></ul><ul><li>De oplossingen (  ) </li></ul>© 2006 CIBIT | SERC
    4. 4. Wat is een mobiel device? <ul><li>Compact </li></ul><ul><li>Veel geheugen </li></ul><ul><li>Relatief veel processorvermogen </li></ul><ul><li>Eenvoudige manier om gegevens mobiel mee te nemen en verwerken </li></ul><ul><li>Hebben een echt operating systeem aan boord </li></ul><ul><li>Hoog gadgetgehalte </li></ul><ul><li>Medewerkers schaffen ze vaak zelf aan! </li></ul>© 2006 CIBIT | SERC 
    5. 5. Gewoon gaaf spul… © 2006 CIBIT | SERC 
    6. 6. Altijd bereikbaar… © 2006 CIBIT | SERC 
    7. 7. Altijd wel een gratis netwerk in de buurt © 2006 CIBIT | SERC 
    8. 8. Bedreigingen in het paradijs <ul><li>Ongeoorloofde toegang </li></ul><ul><li>Diefstal/verlies </li></ul><ul><li>Vernietiging van het device </li></ul><ul><li>Inbreken op het device </li></ul><ul><li>Afluisteren van communicatie </li></ul>© 2006 CIBIT | SERC 
    9. 9. Wat is er te beschermen? <ul><li>Inhoud van PDA’s: </li></ul><ul><li>Afspraken 85% </li></ul><ul><li>Adresgegevens 80% </li></ul><ul><li>Verslaglegging/aantekeningen 75% </li></ul><ul><li>Creditcardgegevens 40% </li></ul><ul><li>Documenten/spreadsheets 35% </li></ul><ul><li>Wachtwoorden/PIN codes 33% </li></ul><ul><li>E-mail 32% </li></ul><ul><li>Bankgegevens 25% </li></ul><ul><li>Zakelijke analyses 25% </li></ul>© 2006 CIBIT | SERC Bron: Pointsec security 
    10. 10. Niets nieuws onder de zon… © 2006 CIBIT | SERC 
    11. 11. Het zijn veel gegevens…. © 2006 CIBIT | SERC GB (Solid State) Bij veel organisaties past alle bedrijfsinformatie nu al op éé n Ipod! 
    12. 12. Nieuwe soort applicaties… <ul><li>Een mobiel verlengstuk van kritieke bedrijfssystemen </li></ul><ul><li>Rechtstreekse ontsluiting </li></ul><ul><li>Credentials grotendeels op device zelf </li></ul><ul><li>Voorbeelden: </li></ul><ul><ul><li>Electronisch Patientdossier </li></ul></ul><ul><ul><li>CRM applicaties </li></ul></ul><ul><ul><li>Orderadministratie </li></ul></ul>© 2006 CIBIT | SERC 
    13. 13. Ongeoorloofd gebruik… © 2006 CIBIT | SERC 
    14. 14. Ongeoorloofd gebruik… <ul><li>“ On idle”/”Power on” password, beschermt: </li></ul><ul><ul><li>Inkomende poorten </li></ul></ul><ul><ul><li>Gebruikersinterface </li></ul></ul><ul><ul><li>Kan wel inkomende gesprekken aannemen </li></ul></ul><ul><li>Instelbare tijd voor activering </li></ul><ul><li>Afdwingbaar via policy </li></ul>© 2006 CIBIT | SERC 
    15. 15. Bescherming van specifieke gegevens <ul><li>Encryptie van gegevens met gespecialiseerde applicaties: </li></ul><ul><ul><li>Bescherming van wachtwoorden en bankgegevens 1 </li></ul></ul><ul><ul><li>Bescherming van bestanden 2 </li></ul></ul>© 2006 CIBIT | SERC  1: zie http://home.planet.nl/~icompare/cryptex.htm 2: Zie http://www.mysoco.com/Product.aspx?ProductID=8
    16. 16. Verlies/Diefstal… <ul><li>40% van de mensen is wel eens een GSM kwijt geraakt </li></ul><ul><li>25% is wel eens een laptop/PDA kwijtgeraakt </li></ul><ul><li>Waar worden die spullen verloren? </li></ul><ul><ul><li>40% in de taxi </li></ul></ul><ul><ul><li>20% in een restaurant/cafe </li></ul></ul>© 2006 CIBIT | SERC 
    17. 17. Vernietiging van data… © 2006 CIBIT | SERC 
    18. 18. Vernietiging van data <ul><li>Remote wipe </li></ul><ul><ul><li>Geintegreerd met Microsoft Exchange 2003 SP2 met Windows Mobile 5 </li></ul></ul><ul><ul><li>Third party solutions </li></ul></ul><ul><li>Vernietiging van alle data op het device zelf </li></ul><ul><li>Helaas niet op geheugenkaartjes </li></ul>© 2006 CIBIT | SERC 
    19. 19. Opsporing dieven… <ul><li>Vernietigen van gegevens, alarm </li></ul><ul><li>IIWPO laat zelfs een SMS laten sturen vanaf de “nieuwe” eigenaar 1 </li></ul>© 2006 CIBIT | SERC 1: http://wiki.xda-developers.com/index.php?pagename=IIWPO 
    20. 20. Vernietiging… <ul><li>Top 10 doodsoorzaken van mobiele devices: </li></ul><ul><li>Op de grond laten vallen </li></ul><ul><li>Kapotgedrukt in te strakke kleding </li></ul><ul><li>Gebruik in de regen </li></ul><ul><li>Woedend op de grond gegooid </li></ul><ul><li>Huisdier of een kind </li></ul><ul><li>In het toilet laten vallen </li></ul><ul><li>In de zee laten vallen </li></ul><ul><li>Laten liggen op het dak van de auto </li></ul><ul><li>Transpiratie tijdens een training </li></ul><ul><li>In de sneeuw laten vallen </li></ul>© 2006 CIBIT | SERC Bron: Siemens Mobile 
    21. 21. Bescherming van specifieke gegevens <ul><li>Synchronisatie van PIM gegevens via activesync </li></ul><ul><li>Synchronisatie van documenten </li></ul><ul><li>Synchronisatie via gespecialiseerde applicaties </li></ul>© 2006 CIBIT | SERC  1: zie http://home.planet.nl/~icompare/cryptex.htm 2: Zie http://www.mysoco.com/Product.aspx?ProductID=8
    22. 22. Diefstal van gegevens via bluetooth © 2006 CIBIT | SERC <ul><li>Directe toegang tot contacts, agenda, files en modem </li></ul><ul><li>Kan zich verbergen </li></ul><ul><li>Kan authenticatie eisen </li></ul><ul><li>Kan encryptie gebruiken </li></ul><ul><li>ALTIJD kwetsbaar voor*: </li></ul><ul><ul><li>Eavesdropping </li></ul></ul><ul><ul><li>Man-in-the-middle attack </li></ul></ul>*Zie: http://www.newscientist.com/article.ns?id=dn7461 
    23. 23. Bluetooth in de praktijk… <ul><li>staat vaak geheel open </li></ul>© 2006 CIBIT | SERC 
    24. 24. Inbreken op het device <ul><li>Zet ongebruikte bluetooth services uit </li></ul><ul><li>Zorg dat een device niet discoverable is </li></ul><ul><li>Vereis een sleutel </li></ul>© 2006 CIBIT | SERC 
    25. 25. Afluisteren van gegevens… © 2006 CIBIT | SERC Exchange Lotus Notes Groupwise CRM applicatie Ordersysteem Grote Boze Internet 
    26. 26. Afluisteren van e-mail <ul><li>SSL server side afdwingen voor (mobiele) communicatie </li></ul>© 2006 CIBIT | SERC 
    27. 27. Virussen en wormen <ul><li>Virusscanners bestaan, maar er zijn geen echte virussen bekend (wel proof of concepts) </li></ul><ul><li>Firewalls bestaan, maar er zijn nog wormen bekend </li></ul>© 2006 CIBIT | SERC 
    28. 28. Eigendomsrechten <ul><li>Wie is eigenaar? </li></ul><ul><li>Wie beslist over het installeren van applicaties? </li></ul><ul><li>Wie beslist over toegang tot het netwerk? </li></ul>© 2006 CIBIT | SERC 
    29. 29. Beveiliging van devices? <ul><li>60% van de bedrijven kent geen security policy voor PDA’s en GSM’s 1 </li></ul><ul><li>75% van de gebruikers heeft geen enkele beveiliging op zijn device 2 </li></ul><ul><li>Maar het hoeft niets te kosten! </li></ul>© 2006 CIBIT | SERC 1: Bron: Pointsec security 2: Bron: TNS NFO
    30. 30. Kortom <ul><li>Mobiele device komen je bedrijf binnen, of je het wilt of niet </li></ul><ul><li>Mobiliteit kan niet zonder na te denken over security </li></ul><ul><li>We kunnen het niet overlaten aan de individuele gebruiker </li></ul><ul><li>Maatregelen hoeven niets te kosten </li></ul>© 2006 CIBIT | SERC

    ×