de verschillende beveiligingsrisico’s van mobiele toepassingen en devices
TRANSCRIPT
Mobile SecurityVeiligheidsrisico's van mobiele toestellen en apps
Leuven.inc – 11 februari 2015Jan Guldentops ( [email protected] )BA N.V. ( http://www.ba.be )
Wie ben ik ?
Jan Guldentops (°1973)• Dit jaar bouw ik 19 jaar server en netwerk infrastructuren
• Oprichter ULYSSIS (°1994), Better Access (°1996) en BA (°2003)
• Open Source Fundamentalist (na mijn uren)
• Sterke praktische achtergrond op het vlak van ICT beveiliging
➢ Ben toevalling terechtgekomen in de securitywereld➢ 1996 beroepskrediet
Breng veel tijd door in het labo / R&D (vooral security)
Moeilijk evenwicht
➢ Moeilijke (soms onmogelijke) balans tussen : ➢ veiligheid ➢ functionaliteit ➢ gebruikersgemak➢ budget
Doorbraak
● 2002 Blackberry● 2007 Iphone ● 2005 Google koopt
Android INC ● 2007 Open Handset
Alliance ● 2010 Nexus One
Datacommunicatie
● Wifi ● is overal● is quasi een mensenrecht geworden!
● Mobile data ● is betaalbaar geworden● is enorm geëvolueerd
– 1G 2400 bauds– 2G 9600 bauds– 3G 384Kbit – 4G theoretisch 100Mbit -> eerder 25Mbit – Toekomst: tot 1Gbit
● Coverage : – 64% Belgen hebben4G ( Proximus )
Appstores in the cloud
● Software-as-a-service● Gerund vanuit een cloud infrastructuur ● Alle voordelen van dien :
– Pay what you use – Elastisch – Geen eigen infrastructuur– Etc.
● Appstores ● Hele ecosystemen ● Revolutie in de software-wereld● Er is voor alles een app die je met een swipe kan kopen.
Mobilisatie
● De perimeter is volledig verdwenen● Mensen willen van overal met allerlei toestellen
werken● Enorme consequenties op het vlak van :
● Netwerk ● Authenticatie ● Veiligheid● Dataleakage● Etc.
Consumerism
● Eindgebruiker zit in de driving seat● Mobile device is een verlengstuk van je
persoonlijkheid,van wie je bent. – Bring your own device
● Kopen zelf apps en gebruiken die
● Zij bepalen wat ze willen en wat er gaat gebeuren.
Risico's
● Focus op mobiele toestellen en hun toepassingen● Smartphones● Tablets
● Maar dit geld ook voor alle andere, minder sexy mobiele devices ● Datadragers● Laptops
Toegang tot het toestel
● Niveau 1: is je toestel vrij toegankelijk ? ● m.a.w. Iedereen die het in handen krijgt, kan ermee aan de slag.
● Niveau 2: afschermen van het toestel ● Pincode ● Password● Schermvergrendeling met patronen● Biometrie
– Face unlock – Touchid ( fingerprint )– Anderen :
● Iris
Te omzeilen
● Pincode raden – zien – vragen
● Biometrie ● TouchID
– Geen sterke authenticatie maar handig!
● Gezichtsherkenning– Krissler
● Irisscan's
Gestolen / verloren toestel
● Data in rust● Duidelijk leesbaar ? ● Forensic tools
– https://santoku-linux.com/
● Remote wipe ● Ben je in staat om de data te wissen ? ● Toestel op te sporen / traceren ?
Software van toestel zelf
● Is de software up-to-date ? ● Recente bugs in IOS, Android, etc.
– e.g. Man-in-the-middle attack vector voor IOS ● Jailbreaking ?● Zorg dat de toestellen altijd up-to-date gehouden worden.
● Antivirus ? ● Zin en onzin ?
– Meeste zijn slecht van kwaliteit, spinoff producten● Google: antivirus is onzin in 99% gevallen !
Malware / malicous apps
● Wat kan er misgaan ?● Reklame● De gegevens van en op het
toestel doorsturen● SMSsen sturen ● Telefoongesprekken
opnemen● Nog meer miserie creeëren● Camera activeren
– Foto’s nemen
Malicous Apps
● Google Play / Apple Appstore ● In theorie doen ze quality control ● Tekenen applicaties. ● MAAR: omzeilbaar, slaan de bal er ook geregeld naast.
● Wil nog niet zeggen dat de apps echt veilig zijn : ● Data in rust?● Veilige communicatie ? ● Security/problemen/updates
HTML5
● Actieve content toevoegen aan webpagina's● Stelt je webcontent in staat om te praten met de
hardware van je omgeving ● Enorme mogelijkheden :
– e.g. Awingu
● Maar nieuwe attack vector
Pas op met WIFI
● WIFI is een mensenrecht geworden● Wanneer je naar een AP connecteert :
● Wie luister er mee ? – Sniffing
● Ideale phishing toepassing– Rogue Access Points
● Aanvallen op je systeem vanop die WIFI
Waar moet je rekening mee houden?
● Hou rekening met de risico's ● Denk na ● Beschouw mobile devices niet als iets
speciaals maar als toestellen als alle anderen. ● Opnemen in de security policy ● Gestructureerd beveiligen, eventueel met een
MDM oplossing
Eigen apps ontwikkelen
● Kies je development-tools en libraries goed !● Kwaliteit, updates, begeleiding, crossplatform, etc.● e.g. Recente problemen met openssl, libc, etc.
● Data op toestellen zelf ● Encrypted, zo beperkt mogelijk ● In eigen sandbox
● Veilige, geëncrypteerde applicaties● Update-mechanisme
● Eventueel in een MDM omgeving of een Enterprise App store
● Testen en permanente verbeteringstrajecten
Internet of things
● Alles heeft vandaag de dag een ip-adres en wordt aan het internet gehangen : ● Auto's● Camera's● Gebouw beheerssystemen● Liften● Telefoons / videoconferencing
● Veel van de omgevingen zijn hier niet klaar voor !
Thank YouContact us
016/29.80.45
016/29.80.46
www.ba.be / Twitter: batweets
Remy TorenVaartdijk 3/501B-3018 Wijgmaal
Twitter: JanGuldentops
http://be.linkedin.com/in/janguldentops/