SlideShare uma empresa Scribd logo

iOS Security

Digicomp Academy AG
Digicomp Academy AG

Dieser Vortrag vermittelt einen Erfahrungsbericht über den Schutz mobiler Endgeräte und die Herausforderungen bei der Erstellung und Implementierung eines nachhaltigen Sicherheitskonzepts. In einer Übersicht werden die verschiedenen Sicherheitsbedrohungen für iOS basierende mobile Geräte aufgezeigt und den Sicherheitsfunktionen des Betriebssystems gegenüber gestellt. Referent: Marco Bolliger

Tecnologia
1 de 15
Baixar para ler offline
5/16/13 1 iOS Security Digicomp Hacking Day 2013 marco.bolliger@infotrust.ch 16.05.2013 Zur meiner Person 5/16/13 Info Trust AG2 Marco Bolliger Zur Person: •  Head Client-/Server Security und Gründungsmitglied der InfoTrust AG •  Studium EMBA / FH •  Studium Elektroingenieur / HTL •  >10 Jahre IT-Security-Erfahrung Meine Kontaktdaten: T. +41 43 4777010 marco.bolliger@infotrust.ch
5/16/13 2 Gründung 2002 Gesellschafts- form 100% selbstfinanzierte AG Umsatz 12.5 Mio. CHF Mitarbeiter 31 Kunden 150 Zur InfoTrust AG InfoTrust Lösungen & Services
5/16/13 3 InfoTrust Partner •  Was sind die Herausforderungen beim Einsatz mobiler Geräte? •  Überblick der Sicherheitsmöglichkeiten von iPhone/iPad •  Mit welchen Lösungsansätzen kann die Sicherheit zusätzlich erhöht werden? •  Wo liegen die Grenzen dieser Lösungsansätze (Security vs. Usability)? •  Aufzeigen einer Checkliste für den sicheren Businesseinsatz •  Förderung der Awareness Ziele
5/16/13 4 5/16/13 Info Trust AG7 •  1.7 Milliarden verkaufte Mobile Devices in 2012 (1.8 Milliarden im 2011) (Quelle: Gartner Feb. 2013) •  davon 721 Millionen Smartphones (472 Millionen im 2011, 296 Millionen im 2010) •  Wer entscheidet, welches mobile Gerät im Unternehmen zum Einsatz kommt? 1999 2002 2007 2008 2010 Nokia 7110 BlackBerry iPhone Android iPad PocketPC 2012 WP8 2013 BB 10 Mobile Device Market 5/16/13 Info Trust AG8 Mobile OS – Weltweite Verteilung
5/16/13 5 5/16/13 Info Trust AG9 Mobile OS – Weltweite Verteilung 5/16/13 Info Trust AG10 Mobile OS – Schweiz
5/16/13 6 5/16/13 Info Trust AG11 Mobile OS – Schweiz 5/16/13 Info Trust AG12 Herausforderungen für die IT Abteilung •  Welche mobilen Plattformen sollen unterstützt werden, wer entscheidet dies? •  Wem gehören die mobilen Geräte (BYOD)? •  Auf welche Unternehmensdaten wird ein mobiler Zugriff erlaubt? •  Schutz der Daten auf den mobilen Geräten •  Trennung zwischen Privat- und Unternehmensdaten •  Rollout der eigenen Policy und Unternehmens-Applikationen (Apps) •  Massnahmen bei Verlust eines Gerätes bzw. Management der Geräte •  IT Betrieb bzw. Support 7x24h
5/16/13 7 5/16/13 Info Trust AG13 Sicherer Zugriff auf Unternehmensdaten •  Microsoft ActiveSync •  VPN •  Virtuelle Desktops •  Enterprise Apps •  Eigene Apps •  Wo sind die Daten? Auf dem Gerät oder im Rechenzentrum? 5/16/13 Info Trust AG14 iOS Application Security •  Sichere Architektur durch App Sandbox •  Kein Zugriff auf Daten einer anderen App •  Jede App muss digital signiert werden •  Nur signierte Apps werden ausgeführt •  iOS Developer Program •  Ad Hoc Distribution bis 100 Geräte •  In-House Verteilung möglich (iOS Developer Enterprise) •  Apps für die Verteilung über den App Store durchlaufen einen Review Prozess von Apple Quelle: Apple
5/16/13 8 Apple App Store – Verifikation durch Apple 5/16/13 Info Trust AG15 •  Functionality •  Metadata, ratings and rankings •  Location •  Push notifications •  Game Center •  iAds •  Trademarks and trade dress •  Media content •  User interface •  Purchasing and currencies •  Scraping and aggregation •  Damage to device •  Personal attacks •  Violence •  Objectionable content •  Privacy •  Pornography •  Religion, culture, and ethnicity •  Contests, sweepstakes, lotteries, and raffles •  Charities and contributions •  Legal requirements Quelle: Apple Guidelines October 2011 5/16/13 Info Trust AG16 iOS Sicherheitsfunktionen •  Device Security – Zugriffschutz mittels Passcode •  Data Protection – Encryption (ab iPhone 3GS/iOS 4.0, erweitert in iOS 5.0) •  Policy Enforcement und Device Restrictions •  Secure Device Configuration – verschlüsselte Configuration Profiles •  Remote und Local Wipe (basierend auf Full Disk Encryption) •  Network Security – VPN, SSL/TLS und WPA/WPA2 •  Secure Authentication Framework – Keychain – x509v3 Zertifikate •  Security Framework (API)
5/16/13 9 5/16/13 Info Trust AG17 Malware auf mobilen Geräten Quelle: McAfee Threats Reports Q1/2012Q2/2011 Q4/2012 5/16/13 Info Trust AG18 iOS Sicherheitslücken und Malware •  Aurora Feint (Juli 2008) – Kontaktdaten vom Adressbuch wurden ungefragt auf den Server der Entwickler geladen •  Storm8 (November 2009) – Upload der Telefonnummer des Gerätes •  MogoRoad (September 2009) – Transfer der Telefonnummer an Entwickler •  iPhoneOS.Ikee Worm (November 2009) – Nur auf Geräten mit Jailbreak •  PDF/Buffer Overflow (Juli 2011) – Root-Rechte, behoben mit iOS 4.3.4 •  iPad 2 Cover (Oktober 2011) – Gerätesperre auf einem iPad 2 mit iOS 5 lässt sich mit dem Smart-Cover teilweise umgehen •  iPhone (August 2012) – Versand von SMS mit gefälschten Absendern eventuell möglich •  Lockscreen Bypass (Februar 2013) – Gerätesperre kann umgangen werden mit Notruffunktion
5/16/13 10 5/16/13 Info Trust AG19 Jailbreak •  Sicherheitsmechanismen und Restriktionen des iOS umgehen •  Erlangen von Root-Rechten (uneingeschränkter Zugang auf das System) •  Eigene Applikationen installieren •  Ausnutzen einer Sicherheitslücke •  Resultat: Sicherheitsrisiken entstehen! 5/16/13 Info Trust AG20 Data Protection •  Verschlüsselte Dateien •  Key Chain •  Sicherer Speicherplatz für Schlüssel, Passwörter, Zugangsdaten,… •  Applikation hat nur Zugang auf eigene Daten Device Key (Hardware) Protected File Passcode (User) Class Key File Key File Meta Data
5/16/13 11 5/16/13 Info Trust AG21 Live Demo – Bruteforce Attacke auf Daten Boot des iPhones im DFU Modus mit modifiziertem OS SSH Verbindung aufbauen über USB Anschluss 1 2 Mounten der internen System- und Daten-Disks 3 Zugriff nur auf ungeschützte Dateien möglich Bruteforce Attacke, um Passcode zu erraten 4 5 Zugriff auch auf geschützte Dateien möglich 6 5/16/13 Info Trust AG22 Bruteforce Erfolge nach Passwortlänge •  4 Stellen numerisch : max. 30 Minuten •  6 Stellen numerisch : max. 50 Stunden •  8 Stellen numerisch : max. 208 Tage •  6 Stellen alphanumerisch : max. 360 Jahre •  iPhone 4, im extremsten Fall, ohne Ausschlüsse
5/16/13 12 5/16/13 Info Trust AG23 Backup •  Backup wird in iTunes erstellt (iOS 4), ab iOS 5 auch in iCloud möglich •  Der Benutzer des Geräts erstellt sein Backup oftmals auf einem privaten Rechner ohne definierten Schutz •  Der Schutz der Backup-Daten wird dem Benutzer überlassen (Zugriff, Verschlüsselung, Passwortschutz) •  Backups bringen potentiell sensible Daten auf einen unsicheren Rechner 5/16/13 Info Trust AG24 Backup •  Backups können verschlüsselt abgelegt werden – dringend empfohlen •  Der Schutz ist abhängig von der Passwortstärke des Backup-Passworts •  Verschlüsselung des Backups wird erzwungen, sobald Zertifikate auf dem System installiert sind •  Angriffspunkt: „Bruteforce“ Attacken, mit denen das Passwort offline erraten wird. •  Escrow Keybag ermöglicht Synchronisation und Backup von gelockten Devices – ermöglicht auch Zugriff auf Dateien
5/16/13 13 5/16/13 Info Trust AG25 Live Demo – Backup Datei auslesen 5/16/13 Info Trust AG26 Mobile Device Management - MDM •  Daten auf die mobilen Geräte synchronisieren •  Betriebssystemeinstellungen vom iOS zentral konfigurieren •  Sicherheitspolicies umsetzen •  Geräte überwachen und inventarisieren •  Geräte oder Daten löschen von Remote
5/16/13 14 5/16/13 Info Trust AG27 Gerätemanagement – 3 Ansätze •  Manuelles erstellen und verteilen von Profilen mit dem Apple iPhone Configuration Utility (.mobileconfig Dateien) •  Configuration Utility via USB •  Download mit Safari Browser •  Versand via E-Mail •  Exchange Active Sync Policies •  Serverbasierte Lösung mit Mobile Device Management Server (Dritthersteller) 5/16/13 Info Trust AG28 Gerätemanagement – 3 Ansätze Manuelle Konfiguration Exchange ActiveSync MDM System Ausrollprozess Aufwändig Einfach Sehr Einfach Überwachung Gerätestatus Remote Administration (lock, wipe, reset, update) Sicherheitseinstellungen Policy Updates über die Luft (OTA)
5/16/13 15 5/16/13 Info Trust AG29 Checkliste für den sicheren Businesseinsatz •  Security Policy und Benutzungsrichtlinien für mobile Geräte •  Benutzer Awareness •  Jailbreak und Einsatz im Unternehmen passen nicht zusammen •  Passcode mindestens 8 Stellen (nummerisch) •  Backup-Passwort gesetzt, d.h. Backup wird verschlüsselt •  Zentrales Mobile Device Management •  Compliance Prüfung und Reporting •  Definition wo die Daten liegen Haben Sie noch Fragen ??? Vielen Dank für Ihre Aufmerksamkeit.

Recomendados

eDay Wlan & Security auf der Skipiste
eDay Wlan & Security auf der SkipisteeDay Wlan & Security auf der Skipiste
eDay Wlan & Security auf der Skipiste
Unwired Networks GmbH
 
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
go4mobile ag
 
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Fujitsu Central Europe
 
We4IT docLinkr (de)
We4IT docLinkr (de)We4IT docLinkr (de)
We4IT docLinkr (de)
We4IT Group
 
goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned
goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons LearnedgoSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned
goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned
Digicomp Academy AG
 
Mehr Softwarequalität für weniger Geld – Tipps für Softwareentwickler und Man...
Mehr Softwarequalität für weniger Geld – Tipps für Softwareentwickler und Man...Mehr Softwarequalität für weniger Geld – Tipps für Softwareentwickler und Man...
Mehr Softwarequalität für weniger Geld – Tipps für Softwareentwickler und Man...
Digicomp Academy AG
 
Aktuelles zu ISO 27000
Aktuelles zu ISO 27000Aktuelles zu ISO 27000
Aktuelles zu ISO 27000
Digicomp Academy AG
 
Highlights in Illustrator CS6
Highlights in Illustrator CS6Highlights in Illustrator CS6
Highlights in Illustrator CS6
Digicomp Academy AG
 

Recomendados

eDay Wlan & Security auf der Skipiste
eDay Wlan & Security auf der SkipisteeDay Wlan & Security auf der Skipiste
eDay Wlan & Security auf der Skipiste
Unwired Networks GmbH
 
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
go4mobile ag
 
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Fujitsu Central Europe
 
We4IT docLinkr (de)
We4IT docLinkr (de)We4IT docLinkr (de)
We4IT docLinkr (de)
We4IT Group
 
goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned
goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons LearnedgoSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned
goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned
Digicomp Academy AG
 
Mehr Softwarequalität für weniger Geld – Tipps für Softwareentwickler und Man...
Mehr Softwarequalität für weniger Geld – Tipps für Softwareentwickler und Man...Mehr Softwarequalität für weniger Geld – Tipps für Softwareentwickler und Man...
Mehr Softwarequalität für weniger Geld – Tipps für Softwareentwickler und Man...
Digicomp Academy AG
 
Aktuelles zu ISO 27000
Aktuelles zu ISO 27000Aktuelles zu ISO 27000
Aktuelles zu ISO 27000
Digicomp Academy AG
 
Highlights in Illustrator CS6
Highlights in Illustrator CS6Highlights in Illustrator CS6
Highlights in Illustrator CS6
Digicomp Academy AG
 
Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010
go4mobile
 
Sicherheitsbetrachtung der Cloudifizierung von Smart- Devices
Sicherheitsbetrachtung der Cloudifizierung von Smart- DevicesSicherheitsbetrachtung der Cloudifizierung von Smart- Devices
Sicherheitsbetrachtung der Cloudifizierung von Smart- Devices
Connected-Blog
 
NETFOX Admin-Treff: Operative Umsetzung von BSI-Grundschutzkonzepten
NETFOX Admin-Treff: Operative Umsetzung von BSI-GrundschutzkonzeptenNETFOX Admin-Treff: Operative Umsetzung von BSI-Grundschutzkonzepten
NETFOX Admin-Treff: Operative Umsetzung von BSI-Grundschutzkonzepten
NETFOX AG
 
MobileIron
MobileIronMobileIron
MobileIron
cbacher
 
Android sicher
Android sicherAndroid sicher
Android sicher
KH F
 
IKT-Sicherheit “Made in Germany”
IKT-Sicherheit “Made in Germany”IKT-Sicherheit “Made in Germany”
IKT-Sicherheit “Made in Germany”
Fujitsu Central Europe
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
ONE Schweiz
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
ONE Schweiz
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
Symantec
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
Fraunhofer AISEC
 
Datenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDatenschutzkompetenz für Lehrende
Datenschutzkompetenz für Lehrende
Daniel Lohninger
 
Smartphone Betriebssysteme iOS
Smartphone Betriebssysteme iOSSmartphone Betriebssysteme iOS
Smartphone Betriebssysteme iOS
dm-development
 
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
usability.de
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
lernet
 
Nefos - Nefos Mobile, die Offline-Salesforce App fürs iPad
Nefos - Nefos Mobile, die Offline-Salesforce App fürs iPadNefos - Nefos Mobile, die Offline-Salesforce App fürs iPad
Nefos - Nefos Mobile, die Offline-Salesforce App fürs iPad
Salesforce Deutschland
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
Ralph Belfiore
 
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyDevelopercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Frank Thilo Röhl
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
Peter Teufl
 
Developercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehlDevelopercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehl
Frank Thilo Röhl
 
iPhone-Software
iPhone-SoftwareiPhone-Software
iPhone-Software
shellyw
 
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
 

Mais conteúdo relacionado

Semelhante a iOS Security

Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010
go4mobile
 
MobileIron
MobileIronMobileIron
MobileIron
cbacher
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
Symantec
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
Peter Teufl
 

Semelhante a iOS Security (20)

Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010
 
Sicherheitsbetrachtung der Cloudifizierung von Smart- Devices
Sicherheitsbetrachtung der Cloudifizierung von Smart- DevicesSicherheitsbetrachtung der Cloudifizierung von Smart- Devices
Sicherheitsbetrachtung der Cloudifizierung von Smart- Devices
 
NETFOX Admin-Treff: Operative Umsetzung von BSI-Grundschutzkonzepten
NETFOX Admin-Treff: Operative Umsetzung von BSI-GrundschutzkonzeptenNETFOX Admin-Treff: Operative Umsetzung von BSI-Grundschutzkonzepten
NETFOX Admin-Treff: Operative Umsetzung von BSI-Grundschutzkonzepten
 
MobileIron
MobileIronMobileIron
MobileIron
 
Android sicher
Android sicherAndroid sicher
Android sicher
 
IKT-Sicherheit “Made in Germany”
IKT-Sicherheit “Made in Germany”IKT-Sicherheit “Made in Germany”
IKT-Sicherheit “Made in Germany”
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Datenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDatenschutzkompetenz für Lehrende
Datenschutzkompetenz für Lehrende
 
Smartphone Betriebssysteme iOS
Smartphone Betriebssysteme iOSSmartphone Betriebssysteme iOS
Smartphone Betriebssysteme iOS
 
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
 
Nefos - Nefos Mobile, die Offline-Salesforce App fürs iPad
Nefos - Nefos Mobile, die Offline-Salesforce App fürs iPadNefos - Nefos Mobile, die Offline-Salesforce App fürs iPad
Nefos - Nefos Mobile, die Offline-Salesforce App fürs iPad
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
 
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyDevelopercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 
Developercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehlDevelopercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehl
 
iPhone-Software
iPhone-SoftwareiPhone-Software
iPhone-Software
 

Mais de Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
 

Mais de Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

iOS Security

  • 1. 5/16/13 1 iOS Security Digicomp Hacking Day 2013 marco.bolliger@infotrust.ch 16.05.2013 Zur meiner Person 5/16/13 Info Trust AG2 Marco Bolliger Zur Person: •  Head Client-/Server Security und Gründungsmitglied der InfoTrust AG •  Studium EMBA / FH •  Studium Elektroingenieur / HTL •  >10 Jahre IT-Security-Erfahrung Meine Kontaktdaten: T. +41 43 4777010 marco.bolliger@infotrust.ch
  • 2. 5/16/13 2 Gründung 2002 Gesellschafts- form 100% selbstfinanzierte AG Umsatz 12.5 Mio. CHF Mitarbeiter 31 Kunden 150 Zur InfoTrust AG InfoTrust Lösungen & Services
  • 3. 5/16/13 3 InfoTrust Partner •  Was sind die Herausforderungen beim Einsatz mobiler Geräte? •  Überblick der Sicherheitsmöglichkeiten von iPhone/iPad •  Mit welchen Lösungsansätzen kann die Sicherheit zusätzlich erhöht werden? •  Wo liegen die Grenzen dieser Lösungsansätze (Security vs. Usability)? •  Aufzeigen einer Checkliste für den sicheren Businesseinsatz •  Förderung der Awareness Ziele
  • 4. 5/16/13 4 5/16/13 Info Trust AG7 •  1.7 Milliarden verkaufte Mobile Devices in 2012 (1.8 Milliarden im 2011) (Quelle: Gartner Feb. 2013) •  davon 721 Millionen Smartphones (472 Millionen im 2011, 296 Millionen im 2010) •  Wer entscheidet, welches mobile Gerät im Unternehmen zum Einsatz kommt? 1999 2002 2007 2008 2010 Nokia 7110 BlackBerry iPhone Android iPad PocketPC 2012 WP8 2013 BB 10 Mobile Device Market 5/16/13 Info Trust AG8 Mobile OS – Weltweite Verteilung
  • 5. 5/16/13 5 5/16/13 Info Trust AG9 Mobile OS – Weltweite Verteilung 5/16/13 Info Trust AG10 Mobile OS – Schweiz
  • 6. 5/16/13 6 5/16/13 Info Trust AG11 Mobile OS – Schweiz 5/16/13 Info Trust AG12 Herausforderungen für die IT Abteilung •  Welche mobilen Plattformen sollen unterstützt werden, wer entscheidet dies? •  Wem gehören die mobilen Geräte (BYOD)? •  Auf welche Unternehmensdaten wird ein mobiler Zugriff erlaubt? •  Schutz der Daten auf den mobilen Geräten •  Trennung zwischen Privat- und Unternehmensdaten •  Rollout der eigenen Policy und Unternehmens-Applikationen (Apps) •  Massnahmen bei Verlust eines Gerätes bzw. Management der Geräte •  IT Betrieb bzw. Support 7x24h
  • 7. 5/16/13 7 5/16/13 Info Trust AG13 Sicherer Zugriff auf Unternehmensdaten •  Microsoft ActiveSync •  VPN •  Virtuelle Desktops •  Enterprise Apps •  Eigene Apps •  Wo sind die Daten? Auf dem Gerät oder im Rechenzentrum? 5/16/13 Info Trust AG14 iOS Application Security •  Sichere Architektur durch App Sandbox •  Kein Zugriff auf Daten einer anderen App •  Jede App muss digital signiert werden •  Nur signierte Apps werden ausgeführt •  iOS Developer Program •  Ad Hoc Distribution bis 100 Geräte •  In-House Verteilung möglich (iOS Developer Enterprise) •  Apps für die Verteilung über den App Store durchlaufen einen Review Prozess von Apple Quelle: Apple
  • 8. 5/16/13 8 Apple App Store – Verifikation durch Apple 5/16/13 Info Trust AG15 •  Functionality •  Metadata, ratings and rankings •  Location •  Push notifications •  Game Center •  iAds •  Trademarks and trade dress •  Media content •  User interface •  Purchasing and currencies •  Scraping and aggregation •  Damage to device •  Personal attacks •  Violence •  Objectionable content •  Privacy •  Pornography •  Religion, culture, and ethnicity •  Contests, sweepstakes, lotteries, and raffles •  Charities and contributions •  Legal requirements Quelle: Apple Guidelines October 2011 5/16/13 Info Trust AG16 iOS Sicherheitsfunktionen •  Device Security – Zugriffschutz mittels Passcode •  Data Protection – Encryption (ab iPhone 3GS/iOS 4.0, erweitert in iOS 5.0) •  Policy Enforcement und Device Restrictions •  Secure Device Configuration – verschlüsselte Configuration Profiles •  Remote und Local Wipe (basierend auf Full Disk Encryption) •  Network Security – VPN, SSL/TLS und WPA/WPA2 •  Secure Authentication Framework – Keychain – x509v3 Zertifikate •  Security Framework (API)
  • 9. 5/16/13 9 5/16/13 Info Trust AG17 Malware auf mobilen Geräten Quelle: McAfee Threats Reports Q1/2012Q2/2011 Q4/2012 5/16/13 Info Trust AG18 iOS Sicherheitslücken und Malware •  Aurora Feint (Juli 2008) – Kontaktdaten vom Adressbuch wurden ungefragt auf den Server der Entwickler geladen •  Storm8 (November 2009) – Upload der Telefonnummer des Gerätes •  MogoRoad (September 2009) – Transfer der Telefonnummer an Entwickler •  iPhoneOS.Ikee Worm (November 2009) – Nur auf Geräten mit Jailbreak •  PDF/Buffer Overflow (Juli 2011) – Root-Rechte, behoben mit iOS 4.3.4 •  iPad 2 Cover (Oktober 2011) – Gerätesperre auf einem iPad 2 mit iOS 5 lässt sich mit dem Smart-Cover teilweise umgehen •  iPhone (August 2012) – Versand von SMS mit gefälschten Absendern eventuell möglich •  Lockscreen Bypass (Februar 2013) – Gerätesperre kann umgangen werden mit Notruffunktion
  • 10. 5/16/13 10 5/16/13 Info Trust AG19 Jailbreak •  Sicherheitsmechanismen und Restriktionen des iOS umgehen •  Erlangen von Root-Rechten (uneingeschränkter Zugang auf das System) •  Eigene Applikationen installieren •  Ausnutzen einer Sicherheitslücke •  Resultat: Sicherheitsrisiken entstehen! 5/16/13 Info Trust AG20 Data Protection •  Verschlüsselte Dateien •  Key Chain •  Sicherer Speicherplatz für Schlüssel, Passwörter, Zugangsdaten,… •  Applikation hat nur Zugang auf eigene Daten Device Key (Hardware) Protected File Passcode (User) Class Key File Key File Meta Data
  • 11. 5/16/13 11 5/16/13 Info Trust AG21 Live Demo – Bruteforce Attacke auf Daten Boot des iPhones im DFU Modus mit modifiziertem OS SSH Verbindung aufbauen über USB Anschluss 1 2 Mounten der internen System- und Daten-Disks 3 Zugriff nur auf ungeschützte Dateien möglich Bruteforce Attacke, um Passcode zu erraten 4 5 Zugriff auch auf geschützte Dateien möglich 6 5/16/13 Info Trust AG22 Bruteforce Erfolge nach Passwortlänge •  4 Stellen numerisch : max. 30 Minuten •  6 Stellen numerisch : max. 50 Stunden •  8 Stellen numerisch : max. 208 Tage •  6 Stellen alphanumerisch : max. 360 Jahre •  iPhone 4, im extremsten Fall, ohne Ausschlüsse
  • 12. 5/16/13 12 5/16/13 Info Trust AG23 Backup •  Backup wird in iTunes erstellt (iOS 4), ab iOS 5 auch in iCloud möglich •  Der Benutzer des Geräts erstellt sein Backup oftmals auf einem privaten Rechner ohne definierten Schutz •  Der Schutz der Backup-Daten wird dem Benutzer überlassen (Zugriff, Verschlüsselung, Passwortschutz) •  Backups bringen potentiell sensible Daten auf einen unsicheren Rechner 5/16/13 Info Trust AG24 Backup •  Backups können verschlüsselt abgelegt werden – dringend empfohlen •  Der Schutz ist abhängig von der Passwortstärke des Backup-Passworts •  Verschlüsselung des Backups wird erzwungen, sobald Zertifikate auf dem System installiert sind •  Angriffspunkt: „Bruteforce“ Attacken, mit denen das Passwort offline erraten wird. •  Escrow Keybag ermöglicht Synchronisation und Backup von gelockten Devices – ermöglicht auch Zugriff auf Dateien
  • 13. 5/16/13 13 5/16/13 Info Trust AG25 Live Demo – Backup Datei auslesen 5/16/13 Info Trust AG26 Mobile Device Management - MDM •  Daten auf die mobilen Geräte synchronisieren •  Betriebssystemeinstellungen vom iOS zentral konfigurieren •  Sicherheitspolicies umsetzen •  Geräte überwachen und inventarisieren •  Geräte oder Daten löschen von Remote
  • 14. 5/16/13 14 5/16/13 Info Trust AG27 Gerätemanagement – 3 Ansätze •  Manuelles erstellen und verteilen von Profilen mit dem Apple iPhone Configuration Utility (.mobileconfig Dateien) •  Configuration Utility via USB •  Download mit Safari Browser •  Versand via E-Mail •  Exchange Active Sync Policies •  Serverbasierte Lösung mit Mobile Device Management Server (Dritthersteller) 5/16/13 Info Trust AG28 Gerätemanagement – 3 Ansätze Manuelle Konfiguration Exchange ActiveSync MDM System Ausrollprozess Aufwändig Einfach Sehr Einfach Überwachung Gerätestatus Remote Administration (lock, wipe, reset, update) Sicherheitseinstellungen Policy Updates über die Luft (OTA)
  • 15. 5/16/13 15 5/16/13 Info Trust AG29 Checkliste für den sicheren Businesseinsatz •  Security Policy und Benutzungsrichtlinien für mobile Geräte •  Benutzer Awareness •  Jailbreak und Einsatz im Unternehmen passen nicht zusammen •  Passcode mindestens 8 Stellen (nummerisch) •  Backup-Passwort gesetzt, d.h. Backup wird verschlüsselt •  Zentrales Mobile Device Management •  Compliance Prüfung und Reporting •  Definition wo die Daten liegen Haben Sie noch Fragen ??? Vielen Dank für Ihre Aufmerksamkeit.