Download - iOS Security

5/16/13 1

iOS Security Digicomp Hacking Day 2013

[email protected]

16.05.2013

Zur meiner Person

5/16/13 Info Trust AG 2

Marco Bolliger

Zur Person:

•  Head Client-/Server Security und Gründungsmitglied der InfoTrust AG

•  Studium EMBA / FH

•  Studium Elektroingenieur / HTL

•  >10 Jahre IT-Security-Erfahrung

Meine Kontaktdaten:

T. +41 43 4777010

[email protected]

5/16/13 2

Gründung 2002

Gesellschafts-form

100% selbstfinanzierte AG

Umsatz 12.5 Mio. CHF

Mitarbeiter 31

Kunden 150

Zur InfoTrust AG

InfoTrust Lösungen & Services

5/16/13 3

InfoTrust Partner

•  Was sind die Herausforderungen beim Einsatz mobiler Geräte?

•  Überblick der Sicherheitsmöglichkeiten von iPhone/iPad

•  Mit welchen Lösungsansätzen kann die Sicherheit zusätzlich erhöht werden?

•  Wo liegen die Grenzen dieser Lösungsansätze (Security vs. Usability)?

•  Aufzeigen einer Checkliste für den sicheren Businesseinsatz

•  Förderung der Awareness

Ziele

5/16/13 4


•  1.7 Milliarden verkaufte Mobile Devices in 2012 (1.8 Milliarden im 2011) (Quelle: Gartner Feb. 2013)

•  davon 721 Millionen Smartphones (472 Millionen im 2011, 296 Millionen im 2010)

•  Wer entscheidet, welches mobile Gerät im Unternehmen zum Einsatz kommt?

1999 2002 2007 2008 2010

Nokia 7110 BlackBerry iPhone Android

iPad

PocketPC

2012

WP8

2013

BB 10

Mobile Device Market


Mobile OS – Weltweite Verteilung

5/16/13 5


Mobile OS – Weltweite Verteilung


Mobile OS – Schweiz

5/16/13 6


Mobile OS – Schweiz


Herausforderungen für die IT Abteilung

•  Welche mobilen Plattformen sollen unterstützt werden, wer entscheidet dies?

•  Wem gehören die mobilen Geräte (BYOD)?

•  Auf welche Unternehmensdaten wird ein mobiler Zugriff erlaubt?

•  Schutz der Daten auf den mobilen Geräten

•  Trennung zwischen Privat- und Unternehmensdaten

•  Rollout der eigenen Policy und Unternehmens-Applikationen (Apps)

•  Massnahmen bei Verlust eines Gerätes bzw. Management der Geräte

•  IT Betrieb bzw. Support 7x24h

5/16/13 7


Sicherer Zugriff auf Unternehmensdaten

•  Microsoft ActiveSync

•  VPN

•  Virtuelle Desktops

•  Enterprise Apps

•  Eigene Apps

•  Wo sind die Daten? Auf dem Gerät oder im Rechenzentrum?


iOS Application Security

•  Sichere Architektur durch App Sandbox

•  Kein Zugriff auf Daten einer anderen App

•  Jede App muss digital signiert werden

•  Nur signierte Apps werden ausgeführt

•  iOS Developer Program

•  Ad Hoc Distribution bis 100 Geräte

•  In-House Verteilung möglich (iOS Developer Enterprise)

•  Apps für die Verteilung über den App Store durchlaufen einen Review Prozess von Apple

Quelle: Apple

5/16/13 8

Apple App Store – Verifikation durch Apple


•  Functionality

•  Metadata, ratings and rankings

•  Location

•  Push notifications

•  Game Center

•  iAds

•  Trademarks and trade dress

•  Media content

•  User interface

•  Purchasing and currencies

•  Scraping and aggregation

•  Damage to device

•  Personal attacks

•  Violence

•  Objectionable content

•  Privacy

•  Pornography

•  Religion, culture, and ethnicity

•  Contests, sweepstakes, lotteries, and raffles

•  Charities and contributions

•  Legal requirements

Quelle: Apple Guidelines October 2011


iOS Sicherheitsfunktionen

•  Device Security – Zugriffschutz mittels Passcode

•  Data Protection – Encryption (ab iPhone 3GS/iOS 4.0, erweitert in iOS 5.0)

•  Policy Enforcement und Device Restrictions

•  Secure Device Configuration – verschlüsselte Configuration Profiles

•  Remote und Local Wipe (basierend auf Full Disk Encryption)

•  Network Security – VPN, SSL/TLS und WPA/WPA2

•  Secure Authentication Framework – Keychain – x509v3 Zertifikate

•  Security Framework (API)

5/16/13 9


Malware auf mobilen Geräten

Quelle: McAfee Threats Reports

Q1/2012 Q2/2011

Q4/2012


iOS Sicherheitslücken und Malware

•  Aurora Feint (Juli 2008) – Kontaktdaten vom Adressbuch wurden ungefragt auf den Server der Entwickler geladen

•  Storm8 (November 2009) – Upload der Telefonnummer des Gerätes

•  MogoRoad (September 2009) – Transfer der Telefonnummer an Entwickler

•  iPhoneOS.Ikee Worm (November 2009) – Nur auf Geräten mit Jailbreak

•  PDF/Buffer Overflow (Juli 2011) – Root-Rechte, behoben mit iOS 4.3.4

•  iPad 2 Cover (Oktober 2011) – Gerätesperre auf einem iPad 2 mit iOS 5 lässt sich mit dem Smart-Cover teilweise umgehen

•  iPhone (August 2012) – Versand von SMS mit gefälschten Absendern eventuell möglich

•  Lockscreen Bypass (Februar 2013) – Gerätesperre kann umgangen werden mit Notruffunktion

5/16/13 10


Jailbreak

•  Sicherheitsmechanismen und Restriktionen des iOS umgehen

•  Erlangen von Root-Rechten (uneingeschränkter Zugang auf das System)

•  Eigene Applikationen installieren

•  Ausnutzen einer Sicherheitslücke

•  Resultat: Sicherheitsrisiken entstehen!


Data Protection

•  Verschlüsselte Dateien

•  Key Chain

•  Sicherer Speicherplatz für Schlüssel, Passwörter, Zugangsdaten,…

•  Applikation hat nur Zugang auf eigene Daten

Device Key (Hardware)

Protected File

Passcode (User)

Class Key File Key

File Meta Data

5/16/13 11


Live Demo – Bruteforce Attacke auf Daten

Boot des iPhones im

DFU Modus mit modifiziertem OS

SSH Verbindung

aufbauen über USB Anschluss

1 2 Mounten der

internen System- und Daten-Disks

3

Zugriff nur auf

ungeschützte Dateien möglich

Bruteforce

Attacke, um Passcode zu erraten

4 5 Zugriff auch

auf geschützte Dateien möglich

6


Bruteforce Erfolge nach Passwortlänge

•  4 Stellen numerisch : max. 30 Minuten

•  6 Stellen numerisch : max. 50 Stunden

•  8 Stellen numerisch : max. 208 Tage

•  6 Stellen alphanumerisch : max. 360 Jahre

•  iPhone 4, im extremsten Fall, ohne Ausschlüsse

5/16/13 12


Backup

•  Backup wird in iTunes erstellt (iOS 4), ab iOS 5 auch in iCloud möglich

•  Der Benutzer des Geräts erstellt sein Backup oftmals auf einem privaten Rechner ohne definierten Schutz

•  Der Schutz der Backup-Daten wird dem Benutzer überlassen (Zugriff, Verschlüsselung, Passwortschutz)

•  Backups bringen potentiell sensible Daten auf einen unsicheren Rechner


Backup

•  Backups können verschlüsselt abgelegt werden – dringend empfohlen

•  Der Schutz ist abhängig von der Passwortstärke des Backup-Passworts

•  Verschlüsselung des Backups wird erzwungen, sobald Zertifikate auf dem System installiert sind

•  Angriffspunkt: „Bruteforce“ Attacken, mit denen das Passwort offline erraten wird.

•  Escrow Keybag ermöglicht Synchronisation und Backup von gelockten Devices – ermöglicht auch Zugriff auf Dateien

5/16/13 13


Live Demo – Backup Datei auslesen


Mobile Device Management - MDM

•  Daten auf die mobilen Geräte synchronisieren

•  Betriebssystemeinstellungen vom iOS zentral konfigurieren

•  Sicherheitspolicies umsetzen

•  Geräte überwachen und inventarisieren

•  Geräte oder Daten löschen von Remote

5/16/13 14


Gerätemanagement – 3 Ansätze

•  Manuelles erstellen und verteilen von Profilen mit dem Apple iPhone Configuration Utility (.mobileconfig Dateien)

•  Configuration Utility via USB

•  Download mit Safari Browser

•  Versand via E-Mail

•  Exchange Active Sync Policies

•  Serverbasierte Lösung mit Mobile Device Management Server (Dritthersteller)


Gerätemanagement – 3 Ansätze

Manuelle Konfiguration

Exchange ActiveSync

MDM System

Ausrollprozess Aufwändig Einfach Sehr Einfach

Überwachung Gerätestatus

Remote Administration (lock, wipe, reset, update)

Sicherheitseinstellungen

Policy Updates über die Luft (OTA)

5/16/13 15


Checkliste für den sicheren Businesseinsatz

•  Security Policy und Benutzungsrichtlinien für mobile Geräte

•  Benutzer Awareness

•  Jailbreak und Einsatz im Unternehmen passen nicht zusammen

•  Passcode mindestens 8 Stellen (nummerisch)

•  Backup-Passwort gesetzt, d.h. Backup wird verschlüsselt

•  Zentrales Mobile Device Management

•  Compliance Prüfung und Reporting

•  Definition wo die Daten liegen

Haben Sie noch Fragen ???

Vielen Dank für Ihre Aufmerksamkeit.