Date post: | 25-Jun-2015 |
Category: |
Technology |
Upload: | digicomp-academy-ag |
View: | 485 times |
Download: | 3 times |
5/16/13 1
iOS Security Digicomp Hacking Day 2013
16.05.2013
Zur meiner Person
5/16/13 Info Trust AG 2
Marco Bolliger
Zur Person:
• Head Client-/Server Security und Gründungsmitglied der InfoTrust AG
• Studium EMBA / FH
• Studium Elektroingenieur / HTL
• >10 Jahre IT-Security-Erfahrung
Meine Kontaktdaten:
T. +41 43 4777010
5/16/13 2
Gründung 2002
Gesellschafts-form
100% selbstfinanzierte AG
Umsatz 12.5 Mio. CHF
Mitarbeiter 31
Kunden 150
Zur InfoTrust AG
InfoTrust Lösungen & Services
5/16/13 3
InfoTrust Partner
• Was sind die Herausforderungen beim Einsatz mobiler Geräte?
• Überblick der Sicherheitsmöglichkeiten von iPhone/iPad
• Mit welchen Lösungsansätzen kann die Sicherheit zusätzlich erhöht werden?
• Wo liegen die Grenzen dieser Lösungsansätze (Security vs. Usability)?
• Aufzeigen einer Checkliste für den sicheren Businesseinsatz
• Förderung der Awareness
Ziele
5/16/13 4
5/16/13 Info Trust AG 7
• 1.7 Milliarden verkaufte Mobile Devices in 2012 (1.8 Milliarden im 2011) (Quelle: Gartner Feb. 2013)
• davon 721 Millionen Smartphones (472 Millionen im 2011, 296 Millionen im 2010)
• Wer entscheidet, welches mobile Gerät im Unternehmen zum Einsatz kommt?
1999 2002 2007 2008 2010
Nokia 7110 BlackBerry iPhone Android
iPad
PocketPC
2012
WP8
2013
BB 10
Mobile Device Market
5/16/13 Info Trust AG 8
Mobile OS – Weltweite Verteilung
5/16/13 5
5/16/13 Info Trust AG 9
Mobile OS – Weltweite Verteilung
5/16/13 Info Trust AG 10
Mobile OS – Schweiz
5/16/13 6
5/16/13 Info Trust AG 11
Mobile OS – Schweiz
5/16/13 Info Trust AG 12
Herausforderungen für die IT Abteilung
• Welche mobilen Plattformen sollen unterstützt werden, wer entscheidet dies?
• Wem gehören die mobilen Geräte (BYOD)?
• Auf welche Unternehmensdaten wird ein mobiler Zugriff erlaubt?
• Schutz der Daten auf den mobilen Geräten
• Trennung zwischen Privat- und Unternehmensdaten
• Rollout der eigenen Policy und Unternehmens-Applikationen (Apps)
• Massnahmen bei Verlust eines Gerätes bzw. Management der Geräte
• IT Betrieb bzw. Support 7x24h
5/16/13 7
5/16/13 Info Trust AG 13
Sicherer Zugriff auf Unternehmensdaten
• Microsoft ActiveSync
• VPN
• Virtuelle Desktops
• Enterprise Apps
• Eigene Apps
• Wo sind die Daten? Auf dem Gerät oder im Rechenzentrum?
5/16/13 Info Trust AG 14
iOS Application Security
• Sichere Architektur durch App Sandbox
• Kein Zugriff auf Daten einer anderen App
• Jede App muss digital signiert werden
• Nur signierte Apps werden ausgeführt
• iOS Developer Program
• Ad Hoc Distribution bis 100 Geräte
• In-House Verteilung möglich (iOS Developer Enterprise)
• Apps für die Verteilung über den App Store durchlaufen einen Review Prozess von Apple
Quelle: Apple
5/16/13 8
Apple App Store – Verifikation durch Apple
5/16/13 Info Trust AG 15
• Functionality
• Metadata, ratings and rankings
• Location
• Push notifications
• Game Center
• iAds
• Trademarks and trade dress
• Media content
• User interface
• Purchasing and currencies
• Scraping and aggregation
• Damage to device
• Personal attacks
• Violence
• Objectionable content
• Privacy
• Pornography
• Religion, culture, and ethnicity
• Contests, sweepstakes, lotteries, and raffles
• Charities and contributions
• Legal requirements
Quelle: Apple Guidelines October 2011
5/16/13 Info Trust AG 16
iOS Sicherheitsfunktionen
• Device Security – Zugriffschutz mittels Passcode
• Data Protection – Encryption (ab iPhone 3GS/iOS 4.0, erweitert in iOS 5.0)
• Policy Enforcement und Device Restrictions
• Secure Device Configuration – verschlüsselte Configuration Profiles
• Remote und Local Wipe (basierend auf Full Disk Encryption)
• Network Security – VPN, SSL/TLS und WPA/WPA2
• Secure Authentication Framework – Keychain – x509v3 Zertifikate
• Security Framework (API)
5/16/13 9
5/16/13 Info Trust AG 17
Malware auf mobilen Geräten
Quelle: McAfee Threats Reports
Q1/2012 Q2/2011
Q4/2012
5/16/13 Info Trust AG 18
iOS Sicherheitslücken und Malware
• Aurora Feint (Juli 2008) – Kontaktdaten vom Adressbuch wurden ungefragt auf den Server der Entwickler geladen
• Storm8 (November 2009) – Upload der Telefonnummer des Gerätes
• MogoRoad (September 2009) – Transfer der Telefonnummer an Entwickler
• iPhoneOS.Ikee Worm (November 2009) – Nur auf Geräten mit Jailbreak
• PDF/Buffer Overflow (Juli 2011) – Root-Rechte, behoben mit iOS 4.3.4
• iPad 2 Cover (Oktober 2011) – Gerätesperre auf einem iPad 2 mit iOS 5 lässt sich mit dem Smart-Cover teilweise umgehen
• iPhone (August 2012) – Versand von SMS mit gefälschten Absendern eventuell möglich
• Lockscreen Bypass (Februar 2013) – Gerätesperre kann umgangen werden mit Notruffunktion
5/16/13 10
5/16/13 Info Trust AG 19
Jailbreak
• Sicherheitsmechanismen und Restriktionen des iOS umgehen
• Erlangen von Root-Rechten (uneingeschränkter Zugang auf das System)
• Eigene Applikationen installieren
• Ausnutzen einer Sicherheitslücke
• Resultat: Sicherheitsrisiken entstehen!
5/16/13 Info Trust AG 20
Data Protection
• Verschlüsselte Dateien
• Key Chain
• Sicherer Speicherplatz für Schlüssel, Passwörter, Zugangsdaten,…
• Applikation hat nur Zugang auf eigene Daten
Device Key (Hardware)
Protected File
Passcode (User)
Class Key File Key
File Meta Data
5/16/13 11
5/16/13 Info Trust AG 21
Live Demo – Bruteforce Attacke auf Daten
Boot des iPhones im
DFU Modus mit modifiziertem OS
SSH Verbindung
aufbauen über USB Anschluss
1 2 Mounten der
internen System- und Daten-Disks
3
Zugriff nur auf
ungeschützte Dateien möglich
Bruteforce
Attacke, um Passcode zu erraten
4 5 Zugriff auch
auf geschützte Dateien möglich
6
5/16/13 Info Trust AG 22
Bruteforce Erfolge nach Passwortlänge
• 4 Stellen numerisch : max. 30 Minuten
• 6 Stellen numerisch : max. 50 Stunden
• 8 Stellen numerisch : max. 208 Tage
• 6 Stellen alphanumerisch : max. 360 Jahre
• iPhone 4, im extremsten Fall, ohne Ausschlüsse
5/16/13 12
5/16/13 Info Trust AG 23
Backup
• Backup wird in iTunes erstellt (iOS 4), ab iOS 5 auch in iCloud möglich
• Der Benutzer des Geräts erstellt sein Backup oftmals auf einem privaten Rechner ohne definierten Schutz
• Der Schutz der Backup-Daten wird dem Benutzer überlassen (Zugriff, Verschlüsselung, Passwortschutz)
• Backups bringen potentiell sensible Daten auf einen unsicheren Rechner
5/16/13 Info Trust AG 24
Backup
• Backups können verschlüsselt abgelegt werden – dringend empfohlen
• Der Schutz ist abhängig von der Passwortstärke des Backup-Passworts
• Verschlüsselung des Backups wird erzwungen, sobald Zertifikate auf dem System installiert sind
• Angriffspunkt: „Bruteforce“ Attacken, mit denen das Passwort offline erraten wird.
• Escrow Keybag ermöglicht Synchronisation und Backup von gelockten Devices – ermöglicht auch Zugriff auf Dateien
5/16/13 13
5/16/13 Info Trust AG 25
Live Demo – Backup Datei auslesen
5/16/13 Info Trust AG 26
Mobile Device Management - MDM
• Daten auf die mobilen Geräte synchronisieren
• Betriebssystemeinstellungen vom iOS zentral konfigurieren
• Sicherheitspolicies umsetzen
• Geräte überwachen und inventarisieren
• Geräte oder Daten löschen von Remote
5/16/13 14
5/16/13 Info Trust AG 27
Gerätemanagement – 3 Ansätze
• Manuelles erstellen und verteilen von Profilen mit dem Apple iPhone Configuration Utility (.mobileconfig Dateien)
• Configuration Utility via USB
• Download mit Safari Browser
• Versand via E-Mail
• Exchange Active Sync Policies
• Serverbasierte Lösung mit Mobile Device Management Server (Dritthersteller)
5/16/13 Info Trust AG 28
Gerätemanagement – 3 Ansätze
Manuelle Konfiguration
Exchange ActiveSync
MDM System
Ausrollprozess Aufwändig Einfach Sehr Einfach
Überwachung Gerätestatus
Remote Administration (lock, wipe, reset, update)
Sicherheitseinstellungen
Policy Updates über die Luft (OTA)
5/16/13 15
5/16/13 Info Trust AG 29
Checkliste für den sicheren Businesseinsatz
• Security Policy und Benutzungsrichtlinien für mobile Geräte
• Benutzer Awareness
• Jailbreak und Einsatz im Unternehmen passen nicht zusammen
• Passcode mindestens 8 Stellen (nummerisch)
• Backup-Passwort gesetzt, d.h. Backup wird verschlüsselt
• Zentrales Mobile Device Management
• Compliance Prüfung und Reporting
• Definition wo die Daten liegen
Haben Sie noch Fragen ???
Vielen Dank für Ihre Aufmerksamkeit.