защита на I phone мобилни комуникации стефан стоянов № 105281
1. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
КАТЕДРА „ИНФОРМАТИКА“
КУРСОВА РАБОТА
По „Безопастност и защита на компютърни системи и приложения“
На тема
„Защита на iPhone мобилни комуникации“
Изготвил: Проверил:
Стефан Стоянов Доц. д-р Стефан Дражев
Спец. ИТИБ Ас. Радка Начева
Фак. № 105281
2. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
КАТЕДРА „ИНФОРМАТИКА“
СЪДЪРЖАНИЕ
Въведение
1. Дефиниция на iOS
2. Архитектура на операционната система
3. Secure Boot Chain
4. System Software Personalization
5. Криптиране и защита на данните
6. Hardware Security Features
7. File Data Protection
8. Създаване на пароли
9. Създаване на сигурни пароли
10. Сигурност на iOS
11. Сигурност на устройството
12. Сигурност на данните
13. Мрежова сигурност
14. Сигурност на приложенията
15. Интернет сигурност
16. Wi-Fi
17. Bluetooth
3. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
КАТЕДРА „ИНФОРМАТИКА“
Мобилните технологии промениха света. Те са навсякъде, като се започне от
забавленията (под формата на различни видове игри) и социалните мрежи и се
стигне до двуфакторния контрол на сигурността при мобилното банкиране и
браузърите с добавена реалност.
Проучване на Gartner1 (таблица 1) показва, че от 299,89 милиона единици
през 2010г. продажбите на смартофни на крайни потребители са достигнали до
967,77 милиона единици през 2013г., което означава, че продажбите на такива
устройства са се увеличили над 3 пъти. Общите продажби за прериода надхвърлят
2,4 милиарда единици или приблизително по един смартфон на всеки трети жител
на планетата.
Същевременно рязко са се променили пазарните дялове на операционните
системи за смартфони (фиг.1 и фиг. 2). Пазарният дял на Android ОС от 22,41% през
2010г. е достигнал 78,40% през 2013г., докато пазарният дял на Symbian ОС от
37,21% е спаднал на 0,25%, което показва динамиката на този пазар.
4. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
КАТЕДРА „ИНФОРМАТИКА“
1. Дефиниция на операционна система iOS
iOS представлява версия на Apple OS X със специфични характреристики
свързани с управлението на устройствата, за които е предназначена. Представена е
за първи път през 2007 като iPhone OS - операционната система на Apple за
мобилни устройства. По-късно е преименувана на iOS, за да подчертае факта, че
работи и на други мобилни устройства на Apple, като iPod Touch, iPad и Apple TV.
OS X и iOS са базирани на NeXTSTEP OS, разработена от NeXT Computer Inc.
Ядрата и на двете операционни системи са POSIX съвместими, а след
верисия 10.5 (Leopard) на Mac OS X са съвместими с Unix 03 сертификация.
Сърцевината на OS X и iOS, която включва ядрото и Unix-основата на операционна
система е известна като ”Дарвин” (Darwin) - операционна система с открит код
публикувана от Apple. Darwin OC (и следователно OS X и iOS) използва XNU ядро
базирано на Mach ядрото, както и на части на FreeBSD ОС.
OS X и iOS не са лицензирани за използване от трети лица и работят само с
устройства търговската марка на Apple.
2. Архитектура на операционната система
5. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
КАТЕДРА „ИНФОРМАТИКА“
Apple залага на сигурността при
изграждането на IOS. Запазване на
информацията сигурна на мобилните
устройства е от първостепенна важност за
всеки потребител, независимо дали става
въпрос за качване на снимки, адреси, лична
или банкова информация. IOS устройствата са
проектирани да поддържат високо ниво на
сигурност, без компромиси. IOS устройствата
предлагат строги технологии за защита и
въпреки това са лесни за използване.
Устройствата са проектирани да предоставят
прозрачност. Много от защитните възможности
са включени по подразбиране, други нямат
възможност за конфигуриране от потребителя,
така няма възмжност да бъдат изключени по
погрешка.
3. Secure Boot Chain
Всяка стъпка от процеса на зареждане съдържа компоненти, които са
криптографски подписани от Apple, за да се гарантира целостта. Това включва
bootloaders, ядрото, бейсбенд фърмуера.
Когато IOS устройството е включено, неговия процесор незабавно изпълнява
кода от РОМ паметта познатa като Boot ROM. Този код се вгражда в чипа по време
на неговото производство. Той съдържа Apple Root CA публичен ключ и
удостоверява, че този публичен ключ е гарантиран от Apple. Това е първата стъпка
от така наречената „Верига на доверието“, където всяка стъпка удостоверява, че
следващата е гарантирана от Apple. Когато Bootloader-a на ниско ниво приключи с
6. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
КАТЕДРА „ИНФОРМАТИКА“
неговите задачи, той подсигурява и стартира следващото ниво bootloader, IBoot,
което удостоверява и стартира ИОС ядрото.
Тази стартираща „Верига на доверието“ подсигурява, че ниските нива на
софтуер не са подправени и позволява IOS да върви само на Apple устройства. Ако
една от тези стъпки не може да зареди или да подсигури валидността на
следващата, то стартирането спира и на екрана се изобразява „Connect to ITunes“.
Това е така наречения режим „recovery mode“. Ако Boot ROM паметта не може да
се зареди, преминава в “Device Firmware Upgrade” режим. В двата случая,
устройството трябва да се свърже с iTunes чрез USB и да се възтановят заводските
настройки.
4. System Software Personalization
Apple периодично пуска софтуeрни ъпдейти; тези ъпдейти са предназначени
за всички устройства на фирмата. Потребителите получават известия за IOS ъпдейт
на устройството или чрез iTunes, и се предоставят през интернет, като окуражават
потребителите да инсталират последния ъпдейт и така да повишат сигурността на
своите данни.
Процесът на исталиране на новите ъпдейти, който е описан по-горе,
подсигурява, че само софтуер който е удобрен от Apple може да бъде инсталиран
на устройството, като се предотвратява инсталирането на по-стара версия на
софтуера. Apple реализира това чрез процес, наречен „System Software
Personalization“. Това предотвратява злонамереното инсталиране на по-стара
версия и използването на дупки и слабости на версията, които са отстранени в по-
новата.
5. Криптиране и защита на данните
Всичко описано до тук помага да се подсигури, че само сигурен код и
приложения могат да бъдат стартирани на устройството. IOS има допълнителни
мерки за сигурност, които защитават информацията, дори в случаи когато други
части от мрежата за сигурност е компрометирана. Както самата архитектура на
7. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
КАТЕДРА „ИНФОРМАТИКА“
системата, тези възможности за криптиране и защита на данните използват слоеве на
интегрирани хардуерни и софтуерни технологии.
6. Hardware Security Features
Скоростта и енергийната ефективност на мобилните устройства са от критично
значение. Криптографските операции са сложни, това може да доведе до проблеми с
работоспособността или живота на батерията, ако не са проектирани и изпълнени
правилно.
Всяко IOS устройство има AES 256 криптиращ модул вграден в DMA пътя
между флаш паметта и главната системна памет, това прави криптирането на файла
високо ефективно. Заедно с AES модулът , SHA-1 криптиране е внедрено в
хардуера.
Уникалният идентификационен номер на устройството(UID) и номера на
групата (GID) са криптирани 256 AES ключове вградени в процесора на устройството
по време на производството. Те не могат да се четат директно, могат да се виждат
единствено като резултат от тяхното криптиране, декриптиране, когато се
използват. UID е уникално за всяко едно устройство и не се съхранява нито от
Apple, нито от някой от неговите доставчици. GID е обща за всички процесори в класа
на устройства (например, всички устройства,използващи Apple A5 чип), използва се като
допълнително ниво на защита, при инсталация или възтановяване на софтуера.
Вграждането на тези ключове в силиция ги предпазва от подправяне и дава гаранции, че
те могат да бъдат достъпни само от модули на AES.
UID позволява данните да бъдат криптирани и свързани с конкретното устройство.
Например, ключът в йерархията,който защитавафайловатасистема включва UID, така че
ако чиповете памет са физически преместени от едно устройство на друго, файловете са
недостъпни. UID не е свързан с друг идентификатор на устройството.
Освен UID и GID, всички други криптографски ключове са създадени от
генератора на случайни числа на системата (RNG). Като същността на алгоритъма идва от
прекъсване времето на зареждане, и допълнително от други вътрешните датчици, след
като устройството е стартирано.
8. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
КАТЕДРА „ИНФОРМАТИКА“
Сигурното изтриване на записаните ключове е също толкова важно като
тяхното генериране.
7. File Data Protection
В допълнение към хардуерното криптиране вградено в IOS
устройствата, Apple използва технология, наречена „Data Protection“ за
допълнителна защита на данните, съхранявани във флаш паметта на
устройството. Тази технология е проектирана, като се вземе предвид факта,
че мобилното устройство винаги може да бъде включено и свързано към
Интернет и може да получава телефонни обаждания, текстови съобщения
или имейли по всяко време.
„Data Protection“ позволява на устройството да реагира на събития като входящи
телефонни обаждания, без да декодира данни и изтегля нова информация, докато стои
заключен. Това се осъществява като всеки файл се асоциира с клас.
„Data Protection“ защитава данните във всеки клас, като се следи кога данните
трябва да бъдат достъпни и кога не. Достъпността се определя от това, дали са били
отключени ключовете на класа. „Data Protection“ се осъществява чрез изграждане и
управление на йерархия на ключове, и се основава на технология за хардуерно
криптиране, описана по-горе.
8. Създаване на пароли
Чрез създаване на парола, потребителят автоматично задейства “Data
Protection”. IOS поддържа цифрени и буквено-цифрови пароли с произволна дължина. В
допълнение, към това че паролата повишава сигурността на устройството, парола
предоставя безопасна среда за криптиращите ключове, които не се съхраняват на
устройството. Това означава, че нападател, който притежава устройството не може да
получи достъп до данните без паролата.
Паролата е обвързана с UID на устройството. Използват се голям брой итерации
за да се забави всеки опитза влизане в системата. Броятна итерациите е калибриран, така
че един опит отнема около 80 милисекунди. Това означава, че ще отнеме повече от пет
9. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
КАТЕДРА „ИНФОРМАТИКА“
години и половина, за да се опитат всички комбинации от
шест-символна буквено-цифрова парола с малки букви и
цифри, или 2 години и половина за девет-цифрова
парола само с номера.
За да се обезкуражи опита за „пробиване“ на
паролата, интерфейсът IOS прилага ескалиращо забавяне след приемане на
невалидна парола. Потребителите могат да включат настройка, която блокира
устройството след 10 неуспешни опита. Тази настройка е също на разположение
като административна политика чрез Mobile Device Management (MDM) и Exchange
ActiveSync, и може да бъде настроена на по-нисък праг от опити.
9. Създаване на сигурни пароли
Apple ID се използва за връзка с много услуги(iCloud, FaceTime, and
iMessage). За да се помогне на потребителите да създадат сигурни пароли, всички
нови акаунти трябва да притежават парола със следните характеристики:
Минимум 8 символа
Минимум една буква
Минимум една главна буква
Минимум едно число
Не повече от три последователни символа
Да е различно от потребителското име
10. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
КАТЕДРА „ИНФОРМАТИКА“
10. Сигурност на iOS
Моделът за сигурност на iOS включва четири слоя - сигурност на
устройството, сигурност на данните, сигурност на мрежата и сигурност на
приложенията.
11. Сигурност на устройството
Целта на механизмите за сигурност на устройството е да гарантират,
че устройството на потебителя не може да се използва от неупълномощено
лице. Най-разпространеният метод е заключване на устройството с ПИН код или
парола. Във своята версия за корпоративни потребители iOS дава възможност за
задаване на минимална дължина, набор от символи, които да се използват в
паролата, дълготрайност и история на паролите. Потребителите могат
допълнително да настроят устройството автоматично да се изтрие, ако твърде
много пъти се въведе грешна парола. В допълнение стратегията за сигурност на
Apple включва използването на подписани конфигурационни профили
позволяващи централизирани найстройки на VPN, WiFi, електронна поща и други
конфигурации. По същия начин могат да бъдат ограничавани и функции считани за
несигурни. Например изключване на YouTube, изключване на камерата на
устройството и забраняване на инсталирането на приложения разработени от трети
страни.
12. Сигурност на данните
11. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
КАТЕДРА „ИНФОРМАТИКА“
Apple е включила редица подходи за защита на сигурността, с цел защита на
данните, дори ако устройството е откраднато. Тези механизми включват функция
за отдалечено изтриване, криптиране и защита на данните.
Освен криптиране на данните записани в самото устройство е възможно да
се направи криптиран архив на данните с помощта на iTunes. За целта се използва
парола, която се задава чрез iTunes и се записва в устройството. Ефективността на
криптиране в голяма степен зависи от сложността на паролата избрана от
потребителя.
13. Мрежова сигурност
Мрежовата сигурност при iOS включва стандартни решения като VPN,
SSL/TLS криптиране, както и WEP/WPA/WPA2 безжично криптиране и
автентификация.
14. Сигурност на приложенията
На ниво приложение, приложенията от App Store се стартират в
т.нар. “пясъчник”. Приложенията стартирани в "пясъчник" не могат да
получат достъп до други приложения или до техните данни, нито могат да получат
достъп до системните файлове и други ресурси. Ограничават се размера на паметта
и процесорното време, които може да използва приложението. Също така се
ограничава достъпа до файлове извън папката на приложението.
12. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
КАТЕДРА „ИНФОРМАТИКА“
В допълнение към ограничаването на ресурсите на устройството, до които едно
приложение може даполучидостъп,Apple имавключено подписване на приложението за
да следи двоичния код разрешен да се стартира на дадено устройство. За да бъде
разрешенонаприложение бъде стартираноподIOS, то трябва да бъде подписано от Apple
или със сертифкат, издаден от Apple. Това е направено, за да се гарантира, че
приложенията не са били променени от първоначалния им двоичен код. Apple също
извършва проверки по време на работа за да тества целостта на приложението за да се
гарантира, че в него не е бил инжектиран
неподписан код.
Като част от сигурността на приложенията се използва вграден криптиран
“ключодържател”- централизиран инструмент за съхраняване и извличане на криптирани
пароли, мрежови идентификационни данни и друга инфомация. Данните в
“ключодържателя”салогическиразделени,такаче дадено приложение да няма достъп до
криптираните данни на друго приложение.
Общата крипто-архитектура на Apple включва AES, 3DES, и RC4 криптиране. Също
така се поддържа хардуерно ускорено AES криптиране и SHA1 хеширане.15
По данни на Apple от седем дневно проучване на потребителите на App Store към
април 2014 87% от потребителите ползват iOS7, 11% - iOS 6 и 2% по-ранни версии на iOS.
15. Интернет сигурност
В допълнение към мерките, които Apple предприема за защита на данните,
съхранявани на устройствата IOS. Има много мерки за сигурност, които организациите
могат да предприемат за запазване на информацията сигурна в интернет пространството,
тъй като пътува до и от IOS устройството. Потребителите трябва да могат да получат
достъп до корпоративните информационнимрежи отвсяко място в света, така че е важно
да се гарантира сигурността на техните данни по време на предаването. IOS използва и
осигурява достъп на разработчиците до стандартни мрежови протоколи за
идентификация, оторизация и криптирана комуникация. IOS предоставя утвърдени
13. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
КАТЕДРА „ИНФОРМАТИКА“
технологии и най-новите стандарти за постигането на тези цели по отношение на
сигурността. На други платформи, firewall е необходим софтуер за защита на
комуникацията и предпазване от атаки. IOS не се нуждае от подобна защита, защото
постигна намаляване на атаките, чрез ограничаване на портовете и премахване на
ненужни комунални услуги на мрежата, като Telnet, Shells, или уеб сървър. Освен това,
комуникациятас програмикато „iMessage“, „FaceTime“ и „Apple Push Notification Server“
е безопасна, защото изисква идентификация и е криптирана.
16. Wi-Fi
IOS поддържа стандартни протоколи Wi-Fi, включително WPA2 Enterprise, да
предоставят удостоверен достъп до безжични корпоративни мрежи. WPA2 Enterprise
използва 128-битово AES криптиране, което дава на потребителите най-високото ниво на
увереност,че техните данни оставазащитени приизпращане и получаване на съобщения
чрез Wi-Fi мрежова връзка. С поддръжка на 802.1X, IOS устройствата могат да бъдат
интегрирани вширокагама от среди. 802.1X се поддържа от iPhone и IPAD включително
EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 и LEAP.
17. Bluetooth
Bluetooth поддръжката в IOS е предназначенада осигури полезнафункционалност
без да осигурява излишно увеличен достъп до личните данни. IOS устройствата
поддържат Encryption Mode 3, Security Mode 4 и Service Level 1. IOS поддържа също
следните профили за Bluetooth:
- Hands-Free Profile (HFF 1.5)
- Phone Book Access Profile (PBAP)
- Advanced Audio Distribution Profile (A2DP)
- Audio / Video Remote Profile Control (AVRCP)
- Personal Area Network Profile (PAN)
- Human Interface Device Profile (HID)