In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Java (Programmiersprache)

Sicherheitsaspekte Sicherheitsaspekte bei der Nutzung mobiler

Werbung 
Sicherheitsaspekte bei der Nutzung mobiler
Applikationen in Breitbandnetzen
Daniel Schreckling
Institute of IT Security and Security Law
Universität Passau
Die Struktur des ISL
Institute of IT-Security and Security Law
Prof. Dr. De Meer
Prof. Dr. Heckmann
Prof. Dr. Posegga
Prof. Dr. Hornung
Prof. Dr. Reiser
Chair of Computer
Networks and
Computer
Communications
Chair of Public
Law, Security Law
and Internet Law
Chair of
IT--Security
IT
Chair of
Public Law,
Information
Technology Law &
Law and Informatics
Junior Professor
for Security in
Information
Systems
Compentencies:
•Network
Security
•Communication
Security
Competencies:
•Security Law
Subjects
•Internet Law
Subjects
•IT-Law
Competencies:
•Software and
Application
Security
•Mobile Networks
Security
Starting April 2011
Starting March 2011
Spokesman
of the Institute
I S L – Institute of ITIT-Security and Security Law
Juristische Fakultät
Recht
IT
Gesetzessicherheit
Sicherheits Recht
Fakultät für Informatik
und Mathematik
Sicherheit
Die „ISL„ISL-Formel“
IT  Recht  Sicherheit =
Grundlagenforschung im Kern der Informationsgesellschaft
Definition
 Bestimmung von IT-Sicherheit im rechtlichen Rahmen
 Gewährleistung der IT-Sicherheit durch technische Lösungen
Kausale Forschung
 Reaktion auf IT-Unsicherheiten durch rechtliche Anpassungen
 Vorbeugung rechtlicher „Unsicherheiten“ in technischen Domänen
Beurteilung des Einflusses
 Sicherheit „trotz IT“
 Sicherheit „durch IT“
: Technologie als Gefahr
: Technologie als Maßnahme
Der restliche Vortrag …
1. Smartphone Technologie
2. Mobile Applikationen
3. Sicherheitsfunktionen
4. Aktuelle Bedrohungen
5. Zukünfitge Probleme und Anforderungen
Smartphones
Smartphones:: Damals
WAP: Wireless Application Protocol (IFA 1999)
 Where are the Phones?
Nokia 7110
 Display: 96x65 Pixel (Monochrome)
 Speicher: 1000 Adressbucheinträge, 500
Kurznachrichten, 660 Kalendernotizen,
Größe einer HTML-Seite: 4000 Zeichen
 Akku: 900 mAh
 Interface: Tastatur
 Kommunikation: GSM, Infrarot,
Daten/Fax Modem
 nutzbare Bandbreite: 9 kbps
Quelle: mobile-review.com
Smartphones
Smartphones:: Heute
 Displays: bis zu 960 x 640
 Prozessoren: ARM ca. 1 GHz
 Arbeitsspeicher: bis zu 1 GB RAM
 Sekundärspeicher: 8-16 GB
 Akku: um 2500 mAh
Quelle: fixit.com
 Sensoren: GPS, Accelerometer,
Kamera, Gyroskop, Kompass,
Näherungssensor, Lichtsensor, …
 Interface: Touchscreen
 Kommunikation: GSM, UMTS, WiFi, Bluetooth, NFC
 nutzbare Bandbreite: ca. 2-3 Mbit/s (mobil)
Anwendungen:
Anwendungen: Damals
Applikationen für Basisfunktionalitäten




Adressbuch
Kalender
Nachrichten
Browser
Quelle: www.hickeycomms.com
Aktuelle Anwendungen …
Basisfunktionalitäten
Multimedia
 Audio
 Video
Quelle: Tango
Augmented Reality
 Echt-Zeit Karten und
Verkehrsinformationen
 Erkennung von Bild oder
Audio Informationen
 …
Quelle: Google Goggles
Neue Anwendungen …
Innovative Userinterfaces für
 das Smartphone
 andere “smarte” Geräte
Sicherheitstoken
 Online Banking
 Unlock-Token
 direktes Bezahlen per Smartphone
Angriffswerkzeug
 Audio/Video Spionage
 Netzwerkscanner/sniffer
 „Malware Transporter“
Mobiles Bezahlen mit VISA und einem NFC
Handy - Quelle: VISA
Smartphone OS Marktanteil 4Q10
Verkauf von ca. 101.2 Millionen Telefonen (Wachstum: 89%)
Nokia
Google
33 %
31 %
Apple
16 %
RIM
14 %
Source: Canalsys estimates, 2011
Others (3 %)
Microsoft (3 %)
Symbian OS
Microkernel (Linux) für ARM Prozessoren
 Anwendungssprachen: Python, Perl, VB,
Java ME, Symbian C++, etc.
 OS in C++, Symbian C++ geschrieben
Security Features
 Sicherheitsmodel basiert auf Capabilities
• Zugriff auf APIs auf drei Ebenen
• Trusted Computing Base
• Trusted Computing Environment
• Unsigned/Signed Apps
• Capabilities über Signaturen an Apps gebunden
 Data Caging
• Pfade des Dateisystems entsprechen Schutzstufen
• Capabilities erlauben das „Umgehen“ dieses
Schutzes
Quelle: N. Feske
Windows Mobile 6.x
Monolithiscer Kernel (Win CE) on x86,
ARM, MIPS Prozessoren
 Basiert auf C++/C#/VB
Security Features
 “Signature only” Modus: Applikationen dürfen alles, oder
 “Signature + Permissions” Modus: Signierende Institution
entscheidet über Berechtigungen
 Nutzer kann unsignierten Apps selbständig Rechte erteilen
 Isolation der Daten
• Apps können nur über API zugreifen
• Separater, „privater“ Speicher für jede App
Blackberry OS
Proprietäres OS für x86, ARM Prozessoren
 Basiert auf Java, C, C++
Security Features
 Gesicherter boot Prozess
 Signatur gestattet Apps Zugriff auf Ressourcen und APIs
 Remote kontrollierte Sicherheits-Policies für
• Download/Installation
• Kommunikations Endpunkte für Apps von Fremdanbietern
• Intern (Firmen Daten)
• Extern (Daten ausserhalb der Institution)
• „Split-pipe“ (sowohl intern als auch externer Zugriff)
 Sandboxed Java
iOS
BSD Derivat für ARM Prozessoren
 Basiert auf hybridem Kernel
(XNU Darwin Kernel, OS X)
 Implementiert in C, C++ & Derivaten
Security Features
 Gesicherter boot-Prozess
 Apps werden mit “Seatbelt” ausgeführt
 Signierte und analysierte Apps besitzen
definierte Zugriffsrechte
 Getrennte Speicherung von Nutzer,
Applikations und System Daten
 Keychains dienen als “sicherer” Speicher für
vertrauliche Daten
Quelle: www.trustedbsd.org
Android 2.x
Linux-Kernel (v2.6) for ARM, MIPS, PPC, x86
processors
 Monolitischer Kernel
 Software Stack implementiert in C, C++, Java
Security Features
 Apps werden von Entwicklern signiert
 Register-basierte Dalvik VM führt Applikationen aus
 Ein “Manifest” definiert Berechtigungen:
Kommunikation und Ressourcen
 Nutzer muss kritischen Berechtigungen zustimmen
 Isolation der Daten:
• Linux GID/UIDs
• Zugriff mit APIs
Applikationssicherheit: Gemeinsamkeiten
Betriebssysteme
 Basieren auf alten und etablierten
Schutzmechanismen
Ausführung
 „Sandboxed“
 Isolation durch APIs
 Richtlinien regeln Zugriff auf APIs
Definition der Richtlinien durch
 Geräteverwalter oder –hersteller
 App-Entwickler
 Anwender
Verteilung
 Applikationsmärkte
 Signaturen bestätigen Ursprung (und evtl. Prüfungen)
Daten Isolation
 Separate Speicherung von Systemdaten
 Individuelle Speicherung der Applikationsdaten
Ist das genug?
Mir passiert das nicht …
Was kann man tun?
Was ist eigentlich zu tun …
Genaue Analyse der Gegebenheiten …




Neue Technologien
Unterschiedlichste Anwendungsfelder
Überfluss personenbezogener Daten
Risiko des Diebstahls oder der Manipulation
… und ihrer Auswirkungen
 Warum das Firmennetzwerk kompliziert von außen angreifen,
wenn es von innen einfacher geht?
 Warum Spyware aufwendig schreiben und verteilen, wenn es per
App einfacher geht?
 Warum aufwendig ein Gerät angreifen, wenn stehlen oder
manipulieren einfacher ist?
ENISA, BSI, … geben gute Analysen und „„best
best practice“
practice“
Empfehlungen
Aber
Aber:: Wo liegen die Ursachen
Ursachen??
Viele Unzulänglichkeiten






iOS Keychain Weakness
Verschlüsselung der Daten
Das Telefon ist ein Server (mit offenen Diensten)
Undurchsichtige Berechtigungsmodelle
Schlecht dokumentierte Automatismen
Backups und Updates
…
Feature Wut
 Der Mensch ist praktisch
und bequem …
 Der Absatz muss stimmen …
Unwissende/Naive Nutzer
…
Kommt es schlimmer?
Software Subscriber Identity Module (SIM)




Zwei Hardware SIMs bald nutzbar
Kompromiss: Sicherheit gegen Flexibilität
Nutzung in anderen Domänen
Offenlegung des GSM Stacks?
Public Sensing/Acting




Austausch von Sensorinformationen
Erkennung unterschiedlicher Kontexte
Anpassung der Applikation/Umgebung
Smartphone als Gateway zum Internet of Things?
Smartphone als Authentikationsfaktor
 Online Banking
 N-Faktor Authentikation für Online Accounts
 Smartphone als „Zahlungsmittel“
…
Wir tun unser bestes
bestes:: Aktuelle Forschungsrichtungen …
Automatisierte Werkzeuge fürMarkets
 iStore: 10.000 Applikationen pro Woche (10% Malware)
 Statische und dynamische Malware Analyse
Daten-zentrische Sicherheitsmodelle
 Nutzer kann Sicherheitseinstellungen „verstehen“
 Nutzer erhält mehr Kontrolle
Remote Attestierung
 Ist das Gerät, mit dem ich kommuniziere „sicher“?
Proof Carrying Code
 Hält sich der Code an bestimmte Vorgaben?
Applikationsfirewalls
 Wie kann einer App in bestimmtem Kontext der Zugriff auf
Ressourcen entzogen werden?
Code-Rewriting
 Kann unerwünschtes Verhalten einer App korrigiert werden?
Zusammenfassung
Entwicklung der
 Smartphone Technologie und
 Ihrer Anwendungen
Aktuelle Sicherheitsmechanismen




Symbian
Blackberry
iOS
Android
Applikationen und ihre Sicherheitsprobleme




Aktuell
Ursachen
Zukünftig
Maßnahmen
Daniel Schreckling
Institute of IT-Security and Security Law
[email protected]
Zugehörige Unterlagen
01. Juni 2015 - AASSET Security GmbH
01. Juni 2015 - AASSET Security GmbH
IObit Security 360™ curity 360™ FREE
IObit Security 360™ curity 360™ FREE
Pressemitteilung Infotecs veröffentlicht ViPNet
Pressemitteilung Infotecs veröffentlicht ViPNet
CA Mobile API Gateway
CA Mobile API Gateway
AppSecMon-Folder
AppSecMon-Folder
IObit Security 360™ PRO - PohlMedia Distribution UG
IObit Security 360™ PRO - PohlMedia Distribution UG
MUSTER: Merkblatt zur Smartphone
MUSTER: Merkblatt zur Smartphone
Klausur vom Sommersemester 2013 als PPTX
Klausur vom Sommersemester 2013 als PPTX
STW Telekom – Security Audit Wir erhöhen die IT
STW Telekom – Security Audit Wir erhöhen die IT
Titel des Moduls: Application Security
Titel des Moduls: Application Security
Bachelor_Projektskizze_GesundheitsApps_3od4
Bachelor_Projektskizze_GesundheitsApps_3od4
Performance Analyse
Performance Analyse
Herunterladen
Werbung