La presentazione della mia tesi di Laurea Magistrale in Informatica curriculum Sicurezza informatica.

1. Framework
per la gestione
di un file system
cifrato per i
dispositivi Android
Alina Korniychuk
Laurea Magistrale in Informatica
Curriculum Sicurezza Informatica
2017/2018
Relatore: Prof. Roberto De Prisco

2. Mobile Data Privacy
￮ Uno dei “TOP 10 mobile risks OWASP” è Insecure
Data Storage
￮ 85% delle App Android è a rischio
violazione della privacy dei dati dell’utente
2
Android iOS Totale
Insecure data
storage
85% 16% 50%

3. Come suggerisce
OWASP
￮ Non affidarsi mai completamente al
sistema operativo del telefono (Android)
￮ Ogni App dovrebbe comunque
provvedere al layer di sicurezza
￮ Nella pratica, questa best practice è
ampiamente disattesa
3

4. Mobile Data Privacy
￮ Necessario persistere i dati in modo cifrato
￮ Funzionalità non direttamente offerta dal SO
￮ Le App dovrebbero farsi carico di crittografare
tutti i dati sensibili a cui accedono
￮ Costi più elevati
￮ Mancanza di cultura e know-how della
sicurezza
4

5. Framework che utilizza le più robuste
tecniche crittografiche per
mantenere i dati delle app al sicuro;
sviluppato per essere facilmente
integrabile, anche nelle app già
esistenti.
Soluzione
“Secure store”

6. ￮ Ho sviluppato un framework che fornisce
alle app che lo integrano la gestione di
un Volume Virtuale Cifrato
￮ Mette a disposizione, in maniera
trasparente, una porzione di file system
cifrato
￮ Progettato con il duplice scopo
￮ Fornire elevati livelli di sicurezza
￮ Di essere immediatamente
integrabile 6
Secure Store

7. ￮ Integra VeraCrypt, software open-source
che offre:
￮ Un File container cifrato, cioè, un
sistema che simula una partizione di
un file system, utilizzando un unico file.
￮ Cifratura "on-the-fly" (OTFE) del
container.
7
Secure Store

8. ￮ Alle funzionalità offerte da VeraCrypt ho
aggiunto uno strato software per fornire un
accesso semplice e trasparente al file
system
￮ Ho implementato delle componenti
grafiche per utilizzare al meglio il file
container e integrarlo immediatamente
￮ Ho implementato le funzionalità di gestione
di un hidden-container 8
Secure Store

9. Hidden container
9
￮ Meccanismo di anti-coercizione
￮ Container contiene due sotto-partizioni
indipendenti e alternative
￮ Ognuna con una credenziale di accesso
￮ Sistema aprirà la partizione relativa alla
credenziale fornita
￮ Classico utilizzo
￮ Partizione con dati Fake, da aprire in caso
di coercizione
￮ Partizione Reale, con dati realmente privati

10. ￮ Gestione Container (Standard/Hidden)
￮ apertura/chiusura/info
￮ Gestione File System interno al container
￮ Crea/Elimina File
￮ Crea/Elimina Directory
￮ List File e Directory
￮ Importa/Esporta File
￮ Accesso lettura / scrittura file
￮ Componente grafica per browsing e apertura file
￮ Componente Fotocamera
￮ Salva le foto unicamente nel container
10
Funzionalità “Secure Store”

11. ￮ Per minimizzare l’effort di integrazione, l'approccio scelto è
l'accesso ai file in modo “standard”
￮ Framework offre oggetti stream-oriented per l’accesso ai file
￮ EncryptedFileInputStream per accedere in lettura
￮ Ereditato da InputStream
￮ EncryptedFileOutputStream per accedere in scrittura
￮ Ereditato da OutputStream
11
Accesso Files
Accesso Standard Accesso con SecureStorage
InputStream is = new FileInputStream("a.txt");
while((data = is.read()) != -1){
doSomethingWithData(data);
}
is.close();
InputStream is = new EncryptedFileInputStream("a.txt");
while((data = is.read()) != -1){
doSomethingWithData(data);
}
is.close();

12. Conclusioni
￮ Soluzione implementata soddisfa i due
requisiti fissati:
￮ Elevata Sicurezza
￮ Robuste tecniche
crittografiche
￮ Protezione contro accesso ai
dati anche con l’app running
￮ Anti-coercizione
￮ Immediata Integrabilità
￮ Effort richiesto minimo
￮ Utilizzo trasparente della
crittografia 12

13. 13
Alina Korniychuk
Laurea in Informatica
Curriculum Sicurezza Informatica
2017/2018
alina.korniychuk1@gmail.com