Dieser Vortrag vermittelt einen Erfahrungsbericht über den Schutz mobiler Endgeräte und die Herausforderungen bei der Erstellung und Implementierung eines nachhaltigen Sicherheitskonzepts. In einer Übersicht werden die verschiedenen Sicherheitsbedrohungen für iOS basierende mobile Geräte aufgezeigt und den Sicherheitsfunktionen des Betriebssystems gegenüber gestellt.
Referent: Marco Bolliger
1. 5/16/13 1
iOS Security
Digicomp Hacking Day 2013
marco.bolliger@infotrust.ch
16.05.2013
Zur meiner Person
5/16/13 Info Trust AG2
Marco Bolliger
Zur Person:
• Head Client-/Server Security und
Gründungsmitglied der InfoTrust AG
• Studium EMBA / FH
• Studium Elektroingenieur / HTL
• >10 Jahre IT-Security-Erfahrung
Meine Kontaktdaten:
T. +41 43 4777010
marco.bolliger@infotrust.ch
3. 5/16/13 3
InfoTrust Partner
• Was sind die Herausforderungen beim
Einsatz mobiler Geräte?
• Überblick der Sicherheitsmöglichkeiten
von iPhone/iPad
• Mit welchen Lösungsansätzen kann die
Sicherheit zusätzlich erhöht werden?
• Wo liegen die Grenzen dieser
Lösungsansätze (Security vs.
Usability)?
• Aufzeigen einer Checkliste für den
sicheren Businesseinsatz
• Förderung der Awareness
Ziele
4. 5/16/13 4
5/16/13 Info Trust AG7
• 1.7 Milliarden verkaufte Mobile Devices in 2012 (1.8 Milliarden im 2011)
(Quelle: Gartner Feb. 2013)
• davon 721 Millionen Smartphones
(472 Millionen im 2011, 296 Millionen im 2010)
• Wer entscheidet, welches mobile Gerät im Unternehmen zum Einsatz
kommt?
1999 2002 2007 2008 2010
Nokia 7110 BlackBerry iPhone Android
iPad
PocketPC
2012
WP8
2013
BB 10
Mobile Device Market
5/16/13 Info Trust AG8
Mobile OS – Weltweite Verteilung
5. 5/16/13 5
5/16/13 Info Trust AG9
Mobile OS – Weltweite Verteilung
5/16/13 Info Trust AG10
Mobile OS – Schweiz
6. 5/16/13 6
5/16/13 Info Trust AG11
Mobile OS – Schweiz
5/16/13 Info Trust AG12
Herausforderungen für die IT Abteilung
• Welche mobilen Plattformen sollen unterstützt werden, wer entscheidet
dies?
• Wem gehören die mobilen Geräte (BYOD)?
• Auf welche Unternehmensdaten wird ein mobiler Zugriff erlaubt?
• Schutz der Daten auf den mobilen Geräten
• Trennung zwischen Privat- und Unternehmensdaten
• Rollout der eigenen Policy und Unternehmens-Applikationen (Apps)
• Massnahmen bei Verlust eines Gerätes bzw. Management der Geräte
• IT Betrieb bzw. Support 7x24h
7. 5/16/13 7
5/16/13 Info Trust AG13
Sicherer Zugriff auf Unternehmensdaten
• Microsoft ActiveSync
• VPN
• Virtuelle Desktops
• Enterprise Apps
• Eigene Apps
• Wo sind die Daten? Auf dem Gerät oder im Rechenzentrum?
5/16/13 Info Trust AG14
iOS Application Security
• Sichere Architektur durch
App Sandbox
• Kein Zugriff auf Daten einer
anderen App
• Jede App muss digital signiert
werden
• Nur signierte Apps werden ausgeführt
• iOS Developer Program
• Ad Hoc Distribution bis 100 Geräte
• In-House Verteilung möglich (iOS Developer Enterprise)
• Apps für die Verteilung über den App Store durchlaufen
einen Review Prozess von Apple
Quelle: Apple
8. 5/16/13 8
Apple App Store – Verifikation durch Apple
5/16/13 Info Trust AG15
• Functionality
• Metadata, ratings and rankings
• Location
• Push notifications
• Game Center
• iAds
• Trademarks and trade dress
• Media content
• User interface
• Purchasing and currencies
• Scraping and aggregation
• Damage to device
• Personal attacks
• Violence
• Objectionable content
• Privacy
• Pornography
• Religion, culture, and ethnicity
• Contests, sweepstakes,
lotteries,
and raffles
• Charities and contributions
• Legal requirements
Quelle: Apple Guidelines October 2011
5/16/13 Info Trust AG16
iOS Sicherheitsfunktionen
• Device Security – Zugriffschutz mittels Passcode
• Data Protection – Encryption (ab iPhone 3GS/iOS 4.0, erweitert in iOS
5.0)
• Policy Enforcement und Device Restrictions
• Secure Device Configuration – verschlüsselte Configuration Profiles
• Remote und Local Wipe (basierend auf Full Disk Encryption)
• Network Security – VPN, SSL/TLS und WPA/WPA2
• Secure Authentication Framework – Keychain – x509v3 Zertifikate
• Security Framework (API)
9. 5/16/13 9
5/16/13 Info Trust AG17
Malware auf mobilen Geräten
Quelle: McAfee Threats Reports
Q1/2012Q2/2011
Q4/2012
5/16/13 Info Trust AG18
iOS Sicherheitslücken und Malware
• Aurora Feint (Juli 2008) – Kontaktdaten vom Adressbuch wurden
ungefragt auf den Server der Entwickler geladen
• Storm8 (November 2009) – Upload der Telefonnummer des Gerätes
• MogoRoad (September 2009) – Transfer der Telefonnummer an
Entwickler
• iPhoneOS.Ikee Worm (November 2009) – Nur auf Geräten mit Jailbreak
• PDF/Buffer Overflow (Juli 2011) – Root-Rechte, behoben mit iOS 4.3.4
• iPad 2 Cover (Oktober 2011) – Gerätesperre auf einem iPad 2 mit iOS 5
lässt sich mit dem Smart-Cover teilweise umgehen
• iPhone (August 2012) – Versand von SMS mit gefälschten Absendern
eventuell möglich
• Lockscreen Bypass (Februar 2013) – Gerätesperre kann umgangen
werden mit Notruffunktion
10. 5/16/13 10
5/16/13 Info Trust AG19
Jailbreak
• Sicherheitsmechanismen und Restriktionen des iOS umgehen
• Erlangen von Root-Rechten (uneingeschränkter Zugang auf das System)
• Eigene Applikationen installieren
• Ausnutzen einer Sicherheitslücke
• Resultat: Sicherheitsrisiken entstehen!
5/16/13 Info Trust AG20
Data Protection
• Verschlüsselte Dateien
• Key Chain
• Sicherer Speicherplatz für Schlüssel,
Passwörter, Zugangsdaten,…
• Applikation hat nur Zugang auf eigene Daten
Device Key
(Hardware)
Protected
File
Passcode
(User)
Class Key
File Key
File Meta Data
11. 5/16/13 11
5/16/13 Info Trust AG21
Live Demo – Bruteforce Attacke auf Daten
Boot des iPhones im
DFU Modus mit
modifiziertem OS
SSH Verbindung
aufbauen über USB
Anschluss
1 2
Mounten der
internen System-
und Daten-Disks
3
Zugriff nur auf
ungeschützte Dateien
möglich
Bruteforce
Attacke, um Passcode
zu erraten
4 5
Zugriff auch
auf geschützte
Dateien möglich
6
5/16/13 Info Trust AG22
Bruteforce Erfolge nach Passwortlänge
• 4 Stellen numerisch : max. 30 Minuten
• 6 Stellen numerisch : max. 50 Stunden
• 8 Stellen numerisch : max. 208 Tage
• 6 Stellen alphanumerisch : max. 360 Jahre
• iPhone 4, im extremsten Fall, ohne Ausschlüsse
12. 5/16/13 12
5/16/13 Info Trust AG23
Backup
• Backup wird in iTunes erstellt (iOS 4), ab iOS 5 auch in iCloud möglich
• Der Benutzer des Geräts erstellt sein Backup oftmals auf einem privaten
Rechner ohne definierten Schutz
• Der Schutz der Backup-Daten wird dem Benutzer überlassen (Zugriff,
Verschlüsselung, Passwortschutz)
• Backups bringen potentiell sensible Daten auf einen unsicheren Rechner
5/16/13 Info Trust AG24
Backup
• Backups können verschlüsselt abgelegt werden – dringend empfohlen
• Der Schutz ist abhängig von der Passwortstärke des Backup-Passworts
• Verschlüsselung des Backups wird erzwungen, sobald Zertifikate auf dem
System installiert sind
• Angriffspunkt: „Bruteforce“ Attacken, mit denen das Passwort offline
erraten wird.
• Escrow Keybag ermöglicht Synchronisation und Backup von gelockten
Devices – ermöglicht auch Zugriff auf Dateien
13. 5/16/13 13
5/16/13 Info Trust AG25
Live Demo – Backup Datei auslesen
5/16/13 Info Trust AG26
Mobile Device Management - MDM
• Daten auf die mobilen Geräte synchronisieren
• Betriebssystemeinstellungen vom iOS zentral konfigurieren
• Sicherheitspolicies umsetzen
• Geräte überwachen und inventarisieren
• Geräte oder Daten löschen von Remote
14. 5/16/13 14
5/16/13 Info Trust AG27
Gerätemanagement – 3 Ansätze
• Manuelles erstellen und verteilen von Profilen mit dem Apple iPhone
Configuration Utility (.mobileconfig Dateien)
• Configuration Utility via USB
• Download mit Safari Browser
• Versand via E-Mail
• Exchange Active Sync Policies
• Serverbasierte Lösung mit Mobile Device Management Server
(Dritthersteller)
5/16/13 Info Trust AG28
Gerätemanagement – 3 Ansätze
Manuelle
Konfiguration
Exchange
ActiveSync
MDM
System
Ausrollprozess Aufwändig Einfach Sehr
Einfach
Überwachung Gerätestatus
Remote Administration
(lock, wipe, reset, update)
Sicherheitseinstellungen
Policy Updates über die
Luft (OTA)
15. 5/16/13 15
5/16/13 Info Trust AG29
Checkliste für den sicheren Businesseinsatz
• Security Policy und Benutzungsrichtlinien für mobile Geräte
• Benutzer Awareness
• Jailbreak und Einsatz im Unternehmen passen nicht zusammen
• Passcode mindestens 8 Stellen (nummerisch)
• Backup-Passwort gesetzt, d.h. Backup wird verschlüsselt
• Zentrales Mobile Device Management
• Compliance Prüfung und Reporting
• Definition wo die Daten liegen
Haben Sie noch Fragen ???
Vielen Dank für Ihre
Aufmerksamkeit.