Rahmenbedingungen mobile security

23
Rahmenbedingungen Mobile Security Peter Teufl peter.teufl@iaik.tugraz.at

description

 

Transcript of Rahmenbedingungen mobile security

Page 1: Rahmenbedingungen mobile security

Rahmenbedingungen Mobile Security

Peter [email protected]

Page 2: Rahmenbedingungen mobile security

Überblick

Einsatzszenarien: Unternehmen - Verwaltete GeräteUnternehmen - BYODEnd-Anwender

Plattform-Sicherheit

Applikationssicherheit

Best Practice

Page 3: Rahmenbedingungen mobile security

Szenarien

Szenarien

Interne Verwendung (öffentlich/privat):

Mobile-Device-Management (MDM)

Bring-Your-Own-Device (BYOD)

End-Anwender

Entwicklung von Applikationen

Page 4: Rahmenbedingungen mobile security

Szenario - Verwaltete Geräte

Interne Verwendung

Auswahl der Plattform(en)

Umsetzen von Sicherheitskonzept

Modellierung der MDM-Regeln

Eingehen auf plattform-spezifische Sicherheitsfunktionen/Probleme

Ausgewählte Applikationen

Sicherheit durch Einschränkungen

Page 5: Rahmenbedingungen mobile security

Szenario - BYOD

BYOD

Beliebige Plattformen

Kein (!) Einfluss auf einen großen Teil der Sicherheitsfunktionen(Benutzer entscheidet, da privates Gerät)

Aktuelle Lösungen?

Page 6: Rahmenbedingungen mobile security

Szenario - BYODMDM

Security Config

MAM App App

App App

Smartphone

Container App Management

Security Config

Container App

App App

Smartphone

Application Wrapper

Management

Security Config

Smartphone

App

App App

App

MDM

Security Config

MAM

Business Area

App App

Security Config

Private Area

Smartphone

App App

MDM ContainerApp

App Wrappers BlackberryBalance

Page 7: Rahmenbedingungen mobile security

Szenario - End-AnwenderEntwicklung von End-Anwender Applikationen

Ähnliche Sichtweise wie Container-App Hersteller

Vergleichbar mit BYOD, aber noch weniger Voraussetzungen

Keinen Einfluss auf Sicherheitsfunktionen

Eigene Funktionen, detalliertes Plattformwissen

Wichtig für sicherheitsrelevante Apps

Page 8: Rahmenbedingungen mobile security

SicherheitKritische Daten

PIM, Position, Dokumente etc.

Probleme

Gefahren: Diebstahl, Malware etc.

Sehr unterschiedliche PlattformeniOS, Android, Windows Phone,Windows Store, Blackberry, ...

Komplexität: Systeme absichern, Sichere Applikationen

Page 9: Rahmenbedingungen mobile security

Sicherheit

Plattformsicherheit

Schutzfunktionen der Plattform

Einfluss Benutzer (BYOD)

Applikationssicherheit

Sichere Implementierung

Plattform-spezifische Funktionen

Page 10: Rahmenbedingungen mobile security

Plattformsicherheit

Plattformsicherheit

Basissicherheit

Verschlüsselung, Zugriffsschutz

MDM-Funktionen

Applikationen

Page 11: Rahmenbedingungen mobile security

BasissicherheitUpdates?

Fragmentierung: Versionen, Funktionen?

Betriebssystem?

Architektur?

Malware-Schutz(buffer overflows, sandboxes)

Page 12: Rahmenbedingungen mobile security

Verschlüsselung

Gesamtes Dateisystem, Backup, Einzelne Dateien?

Einfluss Entwickler?

Immer aktiv? Benutzerinteraktion?

Hardware Chip in Verwendung?

Verschlüsselung abhängig von PIN?

Schlüsselableitungsfunktion?

Remote Wipe?

Page 13: Rahmenbedingungen mobile security

Beispiel: iOS/Android EncryptionLock-Screen Type Length Chars

Number of passcodes

Brute-Force Days

Numerical 4 10 10000 0.06 10 1000000 0.98 10 100000000 92.6

10 10 10000000000 9,259.3

Alphanum 4 36 1679616 1.610/26 letters 6 36 2176782336 2,015.5

7 36 78364164096 72,559.48 36 2.82111E+12 2,612,138.89 36 1.0156E+14 94,036,996.9

10 36 3.65616E+15 3,385,331,888.9

Alphanum 4 62 14776336 13.75 62 916132832 848.3

10/52 letters 6 62 56800235584 52,592.87 62 3.52161E+12 3,260,754.38 62 2.1834E+14 202,166,764.49 62 1.35371E+16 12,534,339,394.7

Complex 4 107 131079601 121.45 107 14025517307 12,986.66 107 1.50073E+12 1,389,565.17 107 1.60578E+14 148,683,470.08 107 1.71819E+16 15,909,131,294.7

iOS on device

Brute-Force Days 1 instance

Brute-Force Days (1000 instances)

Cost $ On-Demand Instances

0.0 0.0 0.00.0 0.0 0.00.0 0.0 1.32.6 0.0 133.3

0.0 0.0 0.00.6 0.0 29.0

20.7 0.0 1,044.9746.3 0.7 37,614.8

26,867.7 26.9 1,354,132.8967,237.7 967.2 48,748,779.2

0.0 0.0 0.20.2 0.0 12.2

15.0 0.0 757.3931.6 0.9 46,954.9

57,761.9 57.8 2,911,201.43,581,239.8 3,581.2 180,494,487.3

0.0 0.0 1.73.7 0.0 187.0

397.0 0.4 20,009.742,481.0 42.5 2,141,042.0

4,545,466.1 4,545.5 229,091,490.6Android Amazon GPUAndroid Amazon GPU GPU Price

Page 14: Rahmenbedingungen mobile security

Mobile Device Management

Welche Policies?

Entfernen der Profile?

Einschränken von Applikationen, Märkten?

Fragmentierung?

Implementierung des MDM-Agents?

Page 15: Rahmenbedingungen mobile security

Applikationen

Applikationsquellen?

APIs für Applikationen?

SMS-Zugriff

Multitasking

Berechtigungen (Usability?)

Einfluss des Entwicklers auf Sicherheitsfunktionen?

Page 16: Rahmenbedingungen mobile security

Applikationssicherheit

Applikationssicherheit

Sichere Kommunikation (HTTPS, Zertifikate, SMS)

Datenverschlüsselung

Überprüfen ob Gerät “gerooted, jailbreak”

Verwenden von Plattform-Features: KeyChains etc.

Page 17: Rahmenbedingungen mobile security

BeispielContainer Applikationen (auch andere Apps mit kritischen Daten)

Schlüsselableitung (vom Passwort zum Schlüssel)sehr wichtig für gute Verschlüsselungssysteme

Schlüsselableitung

Salt

Lange Ableitungszeit (z.B. 80ms pro Passwort auf iOS)

Know-How um es richtig zu implementieren

Fehler: sehr leichte Brute-Force Angriffe...

Data encryption key

Passcode

Keyderivation

Derived key

Salt

Page 18: Rahmenbedingungen mobile security

Beispiel

Lock-Screen Type Length Chars

Number of passcodes Brute-Force DaysBrute-Force Days

Cost $ Reserved (3 Years)

Numerical 4 10 100006 10 10000008 10 100000000

10 10 10000000000

Alphanum 4 36 167961610/26 letters 6 36 2176782336

7 36 783641640968 36 2.82111E+129 36 1.0156E+14

10 36 3.65616E+15

Alphanum 4 62 147763365 62 916132832

10/52 letters 6 62 568002355847 62 3.52161E+128 62 2.1834E+149 62 1.35371E+16

Complex 4 107 1310796015 107 140255173076 107 1.50073E+127 107 1.60578E+148 107 1.71819E+16

Lock-Screen Type Length Chars

Number of passcodes Brute-Force DaysBrute-Force Days

Cost $ Reserved (3 Years)

Numerical 4 10 100006 10 10000008 10 100000000

10 10 10000000000

Alphanum 4 36 167961610/26 letters 6 36 2176782336

7 36 783641640968 36 2.82111E+129 36 1.0156E+14

10 36 3.65616E+15

Alphanum 4 62 147763365 62 916132832

10/52 letters 6 62 568002355847 62 3.52161E+128 62 2.1834E+149 62 1.35371E+16

Complex 4 107 1310796015 107 140255173076 107 1.50073E+127 107 1.60578E+148 107 1.71819E+16

Brute-Force Days

0.00.9

92.69,259.3

1.62,015.5

72,559.42,612,138.8

94,036,996.93,385,331,888.9

13.7848.3

52,592.83,260,754.3

202,166,764.412,534,339,394.7

121.412,986.6

1,389,565.1148,683,470.0

15,909,131,294.7iOS on device

Lock-Screen Type Length Chars

Number of passcodes Brute-Force DaysBrute-Force Days Cost $ GPU

Numerical 4 10 10000 0.0 0.0 0.06 10 1000000 0.0 0.0 0.08 10 100000000 0.0 0.0 0.0

10 10 10000000000 0.2 0.0 0.0

Alphanum 4 36 1679616 0.0 0.0 0.010/26 letters 6 36 2176782336 0.0 0.0 0.0

7 36 78364164096 1.3 0.0 0.28 36 2.82111E+12 46.6 0.0 8.39 36 1.0156E+14 1,679.2 1.7 299.0

10 36 3.65616E+15 60,452.4 60.5 10,763.7

Alphanum 4 62 14776336 0.0 0.0 0.05 62 916132832 0.0 0.0 0.0

10/52 letters 6 62 56800235584 0.9 0.0 0.27 62 3.52161E+12 58.2 0.1 10.48 62 2.1834E+14 3,610.1 3.6 642.89 62 1.35371E+16 223,827.5 223.8 39,852.9

Complex 4 107 131079601 0.0 0.0 0.05 107 14025517307 0.2 0.0 0.06 107 1.50073E+12 24.8 0.0 4.47 107 1.60578E+14 2,655.1 2.7 472.78 107 1.71819E+16 284,091.6 284.1 50,583.1

Page 19: Rahmenbedingungen mobile security

Einfluss auf Szenarien

PlattformSIcherheit

ApplikationsSicherheit

PlattformSIcherheit

ApplikationsSicherheit

PlattformSIcherheit

ApplikationsSicherheit

BYOD

Verwaltete Geräte (MDM)

Endanwender

Page 20: Rahmenbedingungen mobile security

Verwaltete GeräteiOS:

sehr gute Sicherheitsfunktionen (Verschlüsselung, MDM etc.)

Android:

sehr stark plattformabhängig!

Vor allem im MDM-Bereich

Windows Phone/Windows Store:

Noch wenige MDM-Features, VPN (8.1 update...), sonst eher bei iOS als bei Android

Blackberry: Balance Framework! Gute Sicherheitsarchitektur.

Page 21: Rahmenbedingungen mobile security

BYOD, End-Anwender

Blackberry:

Balance framework: integrierte BYOD Lösung

iOS, Windows Phone/Store:

Große Vorteile gegenüber Android

Android:

Alternative Quellen, systemnahe APIs

Page 22: Rahmenbedingungen mobile security

Sichere ApplikationsentwicklungDetalliertes Wissen über Sicherheitsfunktionen der Plattform

z.B. Sicheres Speichern von Schlüsselmaterial, Daten

Detalliertes Know-How für die Implementierung eigener Sicherheitsfunktionen

Verschlüsselung

Schlüsselableitung

Sichere Kommunikation

Externe Befehle: SMS etc.

Root-Checks