Sicherheitsaspekte bei der Nutzung mobiler Applikationen ... · Sicherheitsaspekte bei der Nutzung...
-
Upload
nguyendien -
Category
Documents
-
view
214 -
download
0
Transcript of Sicherheitsaspekte bei der Nutzung mobiler Applikationen ... · Sicherheitsaspekte bei der Nutzung...
SicherheitsaspekteSicherheitsaspekte beibei derder NutzungNutzung mobilermobilerApplikationenApplikationen in in BreitbandnetzenBreitbandnetzen
Daniel SchrecklingInstitute of IT Security and Security LawUniversität Passau
Die Struktur des ISLDie Struktur des ISL
Prof. Dr. Posegga
ChairChair ofofITIT--SecuritySecurity
Spokesmanof the Institute
Competencies:•Software and
ApplicationSecurity
•Mobile NetworksSecurity
Prof. Dr. Heckmann
ChairChair ofof PublicPublicLaw, Security LawLaw, Security Lawandand Internet LawInternet Law
Competencies:•Security Law
Subjects• Internet Law
Subjects• IT-Law
Prof. Dr. De Meer
ChairChair ofof ComputerComputerNetworks Networks andand
Computer Computer CommunicationsCommunications
Compentencies:•Network
Security•Communication
Security
Prof. Dr. Hornung
ChairChair ofofPublic Law,Public Law,InformationInformation
Technology Law & Technology Law & Law Law andand InformaticsInformatics
Starting April 2011
Prof. Dr. Reiser
Junior ProfessorJunior Professorforfor Security Security ininInformationInformation
SystemsSystems
Starting March 2011
Institute of IT-Security and Security Law
I S L I S L –– Institute of ITInstitute of IT--Security and Security LawSecurity and Security Law
Sicherheit
IT
RechtGesetzessicherheit
Sicherheits Recht
Fakultät für Informatik und Mathematik
Juristische Fakultät
Die „ISLDie „ISL--Formel“Formel“
Definition Bestimmung von IT-Sicherheit im rechtlichen Rahmen Gewährleistung der IT-Sicherheit durch technische Lösungen
Kausale Forschung Reaktion auf IT-Unsicherheiten durch rechtliche Anpassungen Vorbeugung rechtlicher „Unsicherheiten“ in technischen Domänen
Beurteilung des Einflusses Sicherheit „trotz IT“ : Technologie als Gefahr Sicherheit „durch IT“ : Technologie als Maßnahme
IT Recht Sicherheit = Grundlagenforschung im Kern der Informationsgesellschaft
DerDer restlicherestliche VortragVortrag ……
1. Smartphone Technologie
2. Mobile Applikationen
3. Sicherheitsfunktionen
4. Aktuelle Bedrohungen
5. Zukünfitge Probleme und Anforderungen
SmartphonesSmartphones: : DamalsDamals
WAP: Wireless Application Protocol (IFA 1999) Where are the Phones?
Nokia 7110 Display: 96x65 Pixel (Monochrome) Speicher: 1000 Adressbucheinträge, 500
Kurznachrichten, 660 Kalendernotizen, Größe einer HTML-Seite: 4000 Zeichen Akku: 900 mAh Interface: Tastatur Kommunikation: GSM, Infrarot,
Daten/Fax Modem nutzbare Bandbreite: 9 kbps
Quelle: mobile-review.com
SmartphonesSmartphones: : HeuteHeute
Quelle: fixit.com
Displays: bis zu 960 x 640 Prozessoren: ARM ca. 1 GHz Arbeitsspeicher: bis zu 1 GB RAM Sekundärspeicher: 8-16 GB Akku: um 2500 mAh Sensoren: GPS, Accelerometer,
Kamera, Gyroskop, Kompass, Näherungssensor, Lichtsensor, … Interface: Touchscreen Kommunikation: GSM, UMTS, WiFi, Bluetooth, NFC nutzbare Bandbreite: ca. 2-3 Mbit/s (mobil)
AnwendungenAnwendungen: : DamalsDamals
Applikationen für Basisfunktionalitäten Adressbuch Kalender Nachrichten Browser
Quelle: www.hickeycomms.com
Aktuelle Anwendungen …Aktuelle Anwendungen …
Basisfunktionalitäten
Multimedia Audio Video
Augmented Reality Echt-Zeit Karten und
Verkehrsinformationen Erkennung von Bild oder
Audio Informationen …
Quelle: Google Goggles
Quelle: Tango
NeueNeue AnwendungenAnwendungen ……
Innovative Userinterfaces für das Smartphone andere “smarte” Geräte
Sicherheitstoken Online Banking Unlock-Token direktes Bezahlen per Smartphone
Angriffswerkzeug Audio/Video Spionage Netzwerkscanner/sniffer „Malware Transporter“
Mobiles Bezahlen mit VISA und einem NFC Handy - Quelle: VISA
Smartphone OS Marktanteil 4Q10Smartphone OS Marktanteil 4Q10
OthersOthers (3 %)(3 %)
Microsoft (3 %)Microsoft (3 %)RIMRIM14 %14 %
AppleApple16 %16 %
NokiaNokia31 %31 %
GoogleGoogle33 %33 %
Source: Canalsys estimates, 2011
Verkauf von ca. 101.2 Millionen Telefonen (Wachstum: 89%)
SymbianSymbian OSOS
Microkernel (Linux) für ARM Prozessoren Anwendungssprachen: Python, Perl, VB,
Java ME, Symbian C++, etc. OS in C++, Symbian C++ geschrieben
Security Features Sicherheitsmodel basiert auf Capabilities• Zugriff auf APIs auf drei Ebenen• Trusted Computing Base• Trusted Computing Environment• Unsigned/Signed Apps
• Capabilities über Signaturen an Apps gebunden Data Caging• Pfade des Dateisystems entsprechen Schutzstufen• Capabilities erlauben das „Umgehen“ dieses
Schutzes
Quelle: N. Feske
Windows Mobile 6.xWindows Mobile 6.x
Monolithiscer Kernel (Win CE) on x86, ARM, MIPS Prozessoren Basiert auf C++/C#/VB
Security Features “Signature only” Modus: Applikationen dürfen alles, oder “Signature + Permissions” Modus: Signierende Institution
entscheidet über Berechtigungen Nutzer kann unsignierten Apps selbständig Rechte erteilen Isolation der Daten• Apps können nur über API zugreifen• Separater, „privater“ Speicher für jede App
Blackberry OSBlackberry OS
Proprietäres OS für x86, ARM Prozessoren Basiert auf Java, C, C++
Security Features Gesicherter boot Prozess Signatur gestattet Apps Zugriff auf Ressourcen und APIs Remote kontrollierte Sicherheits-Policies für• Download/Installation• Kommunikations Endpunkte für Apps von Fremdanbietern• Intern (Firmen Daten)• Extern (Daten ausserhalb der Institution)• „Split-pipe“ (sowohl intern als auch externer Zugriff)
Sandboxed Java
iOSiOS
BSD Derivat für ARM Prozessoren Basiert auf hybridem Kernel
(XNU Darwin Kernel, OS X) Implementiert in C, C++ & Derivaten
Security Features Gesicherter boot-Prozess Apps werden mit “Seatbelt” ausgeführt Signierte und analysierte Apps besitzen
definierte Zugriffsrechte Getrennte Speicherung von Nutzer,
Applikations und System Daten Keychains dienen als “sicherer” Speicher für
vertrauliche Daten
Quelle: www.trustedbsd.org
AndroidAndroid 2.x2.x
Linux-Kernel (v2.6) for ARM, MIPS, PPC, x86 processors Monolitischer Kernel Software Stack implementiert in C, C++, Java
Security Features Apps werden von Entwicklern signiert Register-basierte Dalvik VM führt Applikationen aus Ein “Manifest” definiert Berechtigungen:
Kommunikation und Ressourcen Nutzer muss kritischen Berechtigungen zustimmen Isolation der Daten: • Linux GID/UIDs • Zugriff mit APIs
Applikationssicherheit: GemeinsamkeitenApplikationssicherheit: Gemeinsamkeiten
Betriebssysteme Basieren auf alten und etablierten
SchutzmechanismenAusführung „Sandboxed“ Isolation durch APIs Richtlinien regeln Zugriff auf APIs
Definition der Richtlinien durch Geräteverwalter oder –hersteller App-Entwickler Anwender
Verteilung Applikationsmärkte Signaturen bestätigen Ursprung (und evtl. Prüfungen)
Daten Isolation Separate Speicherung von Systemdaten Individuelle Speicherung der Applikationsdaten
Was ist eigentlich zu tun …Was ist eigentlich zu tun …
Genaue Analyse der Gegebenheiten … Neue Technologien Unterschiedlichste Anwendungsfelder Überfluss personenbezogener Daten Risiko des Diebstahls oder der Manipulation
… und ihrer Auswirkungen Warum das Firmennetzwerk kompliziert von außen angreifen,
wenn es von innen einfacher geht? Warum Spyware aufwendig schreiben und verteilen, wenn es per
App einfacher geht? Warum aufwendig ein Gerät angreifen, wenn stehlen oder
manipulieren einfacher ist?
ENISA, BSI, … geben gute Analysen und „ENISA, BSI, … geben gute Analysen und „bestbest practicepractice“ “ EmpfehlungenEmpfehlungen
AberAber:: WoWo liegenliegen die die UrsachenUrsachen??
Viele Unzulänglichkeiten Verschlüsselung der Daten Das Telefon ist ein Server (mit offenen Diensten) Undurchsichtige Berechtigungsmodelle Schlecht dokumentierte Automatismen Backups und Updates …
Feature Wut Der Mensch ist praktisch
und bequem … Der Absatz muss stimmen …
Unwissende/Naive Nutzer…
iOS Keychain Weakness
Kommt es schlimmer?Kommt es schlimmer?
Software Subscriber Identity Module (SIM) Zwei Hardware SIMs bald nutzbar Kompromiss: Sicherheit gegen Flexibilität Nutzung in anderen Domänen Offenlegung des GSM Stacks?
Public Sensing/Acting Austausch von Sensorinformationen Erkennung unterschiedlicher Kontexte Anpassung der Applikation/Umgebung Smartphone als Gateway zum Internet of Things?
Smartphone als Authentikationsfaktor Online Banking N-Faktor Authentikation für Online Accounts Smartphone als „Zahlungsmittel“
…
WirWir tuntun unserunser bestesbestes: : AktuelleAktuelle ForschungsrichtungenForschungsrichtungen ……
Automatisierte Werkzeuge fürMarkets iStore: 10.000 Applikationen pro Woche (10% Malware) Statische und dynamische Malware Analyse
Daten-zentrische Sicherheitsmodelle Nutzer kann Sicherheitseinstellungen „verstehen“ Nutzer erhält mehr Kontrolle
Remote Attestierung Ist das Gerät, mit dem ich kommuniziere „sicher“?
Proof Carrying Code Hält sich der Code an bestimmte Vorgaben?
Applikationsfirewalls Wie kann einer App in bestimmtem Kontext der Zugriff auf
Ressourcen entzogen werden?
Code-Rewriting Kann unerwünschtes Verhalten einer App korrigiert werden?
ZusammenfassungZusammenfassung
Entwicklung der Smartphone Technologie und Ihrer Anwendungen
Aktuelle Sicherheitsmechanismen Symbian Blackberry iOS Android
Applikationen und ihre Sicherheitsprobleme Aktuell Ursachen Zukünftig Maßnahmen
Daniel SchrecklingInstitute of IT-Security and Security Law