Post on 20-Jan-2015
description
Rahmenbedingungen Mobile Security
Peter Teuflpeter.teufl@iaik.tugraz.at
Überblick
Einsatzszenarien: Unternehmen - Verwaltete GeräteUnternehmen - BYODEnd-Anwender
Plattform-Sicherheit
Applikationssicherheit
Best Practice
Szenarien
Szenarien
Interne Verwendung (öffentlich/privat):
Mobile-Device-Management (MDM)
Bring-Your-Own-Device (BYOD)
End-Anwender
Entwicklung von Applikationen
Szenario - Verwaltete Geräte
Interne Verwendung
Auswahl der Plattform(en)
Umsetzen von Sicherheitskonzept
Modellierung der MDM-Regeln
Eingehen auf plattform-spezifische Sicherheitsfunktionen/Probleme
Ausgewählte Applikationen
Sicherheit durch Einschränkungen
Szenario - BYOD
BYOD
Beliebige Plattformen
Kein (!) Einfluss auf einen großen Teil der Sicherheitsfunktionen(Benutzer entscheidet, da privates Gerät)
Aktuelle Lösungen?
Szenario - BYODMDM
Security Config
MAM App App
App App
Smartphone
Container App Management
Security Config
Container App
App App
Smartphone
Application Wrapper
Management
Security Config
Smartphone
App
App App
App
MDM
Security Config
MAM
Business Area
App App
Security Config
Private Area
Smartphone
App App
MDM ContainerApp
App Wrappers BlackberryBalance
Szenario - End-AnwenderEntwicklung von End-Anwender Applikationen
Ähnliche Sichtweise wie Container-App Hersteller
Vergleichbar mit BYOD, aber noch weniger Voraussetzungen
Keinen Einfluss auf Sicherheitsfunktionen
Eigene Funktionen, detalliertes Plattformwissen
Wichtig für sicherheitsrelevante Apps
SicherheitKritische Daten
PIM, Position, Dokumente etc.
Probleme
Gefahren: Diebstahl, Malware etc.
Sehr unterschiedliche PlattformeniOS, Android, Windows Phone,Windows Store, Blackberry, ...
Komplexität: Systeme absichern, Sichere Applikationen
Sicherheit
Plattformsicherheit
Schutzfunktionen der Plattform
Einfluss Benutzer (BYOD)
Applikationssicherheit
Sichere Implementierung
Plattform-spezifische Funktionen
Plattformsicherheit
Plattformsicherheit
Basissicherheit
Verschlüsselung, Zugriffsschutz
MDM-Funktionen
Applikationen
BasissicherheitUpdates?
Fragmentierung: Versionen, Funktionen?
Betriebssystem?
Architektur?
Malware-Schutz(buffer overflows, sandboxes)
Verschlüsselung
Gesamtes Dateisystem, Backup, Einzelne Dateien?
Einfluss Entwickler?
Immer aktiv? Benutzerinteraktion?
Hardware Chip in Verwendung?
Verschlüsselung abhängig von PIN?
Schlüsselableitungsfunktion?
Remote Wipe?
Beispiel: iOS/Android EncryptionLock-Screen Type Length Chars
Number of passcodes
Brute-Force Days
Numerical 4 10 10000 0.06 10 1000000 0.98 10 100000000 92.6
10 10 10000000000 9,259.3
Alphanum 4 36 1679616 1.610/26 letters 6 36 2176782336 2,015.5
7 36 78364164096 72,559.48 36 2.82111E+12 2,612,138.89 36 1.0156E+14 94,036,996.9
10 36 3.65616E+15 3,385,331,888.9
Alphanum 4 62 14776336 13.75 62 916132832 848.3
10/52 letters 6 62 56800235584 52,592.87 62 3.52161E+12 3,260,754.38 62 2.1834E+14 202,166,764.49 62 1.35371E+16 12,534,339,394.7
Complex 4 107 131079601 121.45 107 14025517307 12,986.66 107 1.50073E+12 1,389,565.17 107 1.60578E+14 148,683,470.08 107 1.71819E+16 15,909,131,294.7
iOS on device
Brute-Force Days 1 instance
Brute-Force Days (1000 instances)
Cost $ On-Demand Instances
0.0 0.0 0.00.0 0.0 0.00.0 0.0 1.32.6 0.0 133.3
0.0 0.0 0.00.6 0.0 29.0
20.7 0.0 1,044.9746.3 0.7 37,614.8
26,867.7 26.9 1,354,132.8967,237.7 967.2 48,748,779.2
0.0 0.0 0.20.2 0.0 12.2
15.0 0.0 757.3931.6 0.9 46,954.9
57,761.9 57.8 2,911,201.43,581,239.8 3,581.2 180,494,487.3
0.0 0.0 1.73.7 0.0 187.0
397.0 0.4 20,009.742,481.0 42.5 2,141,042.0
4,545,466.1 4,545.5 229,091,490.6Android Amazon GPUAndroid Amazon GPU GPU Price
Mobile Device Management
Welche Policies?
Entfernen der Profile?
Einschränken von Applikationen, Märkten?
Fragmentierung?
Implementierung des MDM-Agents?
Applikationen
Applikationsquellen?
APIs für Applikationen?
SMS-Zugriff
Multitasking
Berechtigungen (Usability?)
Einfluss des Entwicklers auf Sicherheitsfunktionen?
Applikationssicherheit
Applikationssicherheit
Sichere Kommunikation (HTTPS, Zertifikate, SMS)
Datenverschlüsselung
Überprüfen ob Gerät “gerooted, jailbreak”
Verwenden von Plattform-Features: KeyChains etc.
BeispielContainer Applikationen (auch andere Apps mit kritischen Daten)
Schlüsselableitung (vom Passwort zum Schlüssel)sehr wichtig für gute Verschlüsselungssysteme
Schlüsselableitung
Salt
Lange Ableitungszeit (z.B. 80ms pro Passwort auf iOS)
Know-How um es richtig zu implementieren
Fehler: sehr leichte Brute-Force Angriffe...
Data encryption key
Passcode
Keyderivation
Derived key
Salt
Beispiel
Lock-Screen Type Length Chars
Number of passcodes Brute-Force DaysBrute-Force Days
Cost $ Reserved (3 Years)
Numerical 4 10 100006 10 10000008 10 100000000
10 10 10000000000
Alphanum 4 36 167961610/26 letters 6 36 2176782336
7 36 783641640968 36 2.82111E+129 36 1.0156E+14
10 36 3.65616E+15
Alphanum 4 62 147763365 62 916132832
10/52 letters 6 62 568002355847 62 3.52161E+128 62 2.1834E+149 62 1.35371E+16
Complex 4 107 1310796015 107 140255173076 107 1.50073E+127 107 1.60578E+148 107 1.71819E+16
Lock-Screen Type Length Chars
Number of passcodes Brute-Force DaysBrute-Force Days
Cost $ Reserved (3 Years)
Numerical 4 10 100006 10 10000008 10 100000000
10 10 10000000000
Alphanum 4 36 167961610/26 letters 6 36 2176782336
7 36 783641640968 36 2.82111E+129 36 1.0156E+14
10 36 3.65616E+15
Alphanum 4 62 147763365 62 916132832
10/52 letters 6 62 568002355847 62 3.52161E+128 62 2.1834E+149 62 1.35371E+16
Complex 4 107 1310796015 107 140255173076 107 1.50073E+127 107 1.60578E+148 107 1.71819E+16
Brute-Force Days
0.00.9
92.69,259.3
1.62,015.5
72,559.42,612,138.8
94,036,996.93,385,331,888.9
13.7848.3
52,592.83,260,754.3
202,166,764.412,534,339,394.7
121.412,986.6
1,389,565.1148,683,470.0
15,909,131,294.7iOS on device
Lock-Screen Type Length Chars
Number of passcodes Brute-Force DaysBrute-Force Days Cost $ GPU
Numerical 4 10 10000 0.0 0.0 0.06 10 1000000 0.0 0.0 0.08 10 100000000 0.0 0.0 0.0
10 10 10000000000 0.2 0.0 0.0
Alphanum 4 36 1679616 0.0 0.0 0.010/26 letters 6 36 2176782336 0.0 0.0 0.0
7 36 78364164096 1.3 0.0 0.28 36 2.82111E+12 46.6 0.0 8.39 36 1.0156E+14 1,679.2 1.7 299.0
10 36 3.65616E+15 60,452.4 60.5 10,763.7
Alphanum 4 62 14776336 0.0 0.0 0.05 62 916132832 0.0 0.0 0.0
10/52 letters 6 62 56800235584 0.9 0.0 0.27 62 3.52161E+12 58.2 0.1 10.48 62 2.1834E+14 3,610.1 3.6 642.89 62 1.35371E+16 223,827.5 223.8 39,852.9
Complex 4 107 131079601 0.0 0.0 0.05 107 14025517307 0.2 0.0 0.06 107 1.50073E+12 24.8 0.0 4.47 107 1.60578E+14 2,655.1 2.7 472.78 107 1.71819E+16 284,091.6 284.1 50,583.1
Einfluss auf Szenarien
PlattformSIcherheit
ApplikationsSicherheit
PlattformSIcherheit
ApplikationsSicherheit
PlattformSIcherheit
ApplikationsSicherheit
BYOD
Verwaltete Geräte (MDM)
Endanwender
Verwaltete GeräteiOS:
sehr gute Sicherheitsfunktionen (Verschlüsselung, MDM etc.)
Android:
sehr stark plattformabhängig!
Vor allem im MDM-Bereich
Windows Phone/Windows Store:
Noch wenige MDM-Features, VPN (8.1 update...), sonst eher bei iOS als bei Android
Blackberry: Balance Framework! Gute Sicherheitsarchitektur.
BYOD, End-Anwender
Blackberry:
Balance framework: integrierte BYOD Lösung
iOS, Windows Phone/Store:
Große Vorteile gegenüber Android
Android:
Alternative Quellen, systemnahe APIs
Sichere ApplikationsentwicklungDetalliertes Wissen über Sicherheitsfunktionen der Plattform
z.B. Sicheres Speichern von Schlüsselmaterial, Daten
Detalliertes Know-How für die Implementierung eigener Sicherheitsfunktionen
Verschlüsselung
Schlüsselableitung
Sichere Kommunikation
Externe Befehle: SMS etc.
Root-Checks
Kontakt
peter.teufl@iaik.tugraz.at
Refs:
https://sites.google.com/site/acnws2012/
http://www.iaik.tugraz.at/content/about_iaik/people/teufl_peter/