Übrigens: Heute müssen Sie Ihr Telefon nicht ausschalten. Ich empfehle jedoch den Stumm-Modus ;-)

Transkript

1 [The ICT-Security Experts] Mobile Security - Angriffsszenarien auf mobile Dienste: Wie (un-)sicher sind iphone, Blackberry & Co.? [Eventname ] Marco Di Filippo Übrigens: Heute müssen Sie Ihr Telefon nicht ausschalten. Ich empfehle jedoch den Stumm-Modus ;-)

2 Die Erfolgsstory Die Geschichte. Cap n Crunch Hack Dank einem mehr oder weniger exakt 2600 Hertz hohen Ton (z.b. mittels einer Pfeife aus einer Cornflakes-Packung) konnte man den Gebührenzähler beim CCITT5-Standard manuell deaktivieren, um Kosten zu sparen. John Draper Er perfektionierte die Entdeckung von Joseph Engressia (16-jähriger blinder Schüler) in Form von der 1970 entwickelten BlueBox, mit der man die Gebührenzähler von AT&T überlisten konnte. Slide 10

3 Die Geschichte. BlueBox Die BlueBox produzierte einen Hertz-Ton, welcher von CCITT v5-kompatiblen Vermittlungsstellen benutzt wurde. Beim Phreaking wurden damit illegal kostenlose Telefonate erschlichen. BeigeBoxing Dienst zum illegalen Anzapfen der Telefonleitung einer anderen Person, um auf deren Kosten zu telefonieren bzw. Gespräche mitzuhören. Die BeigeBox hat ihren Namen von der beigen Farbe der durch sie angezapften Verteilerkästen. Slide 11 Kurze Schwachstellen-Historie Mai 2008: Windows Mobile Smartphones erlauben die Ausführung von Schadcode via SMS (WAP Push SL) Januar 2009: Android Smartphones können über eine Schwachstelle im Browser manipuliert werden November 2009: iphones mit Jailbreak werden Rickrolled weil das root und mobile User Passwort (default: alpine ) nicht geändert wurde März 2010: TippingPoint's "WeatherFist" Experiment: 1900 Malware Downloads in 24h, 8000 in einem Monat (für rooted Android/ Jailbreaked iphone) April 2010: XSS und Content Injection in SMS PopUp von HTC WinMo Smartphones Mai 2010: Fehlerhafte Datenverschlüsselung in iphone: Voller Zugriff auf Daten über USB. (iphone erlaubt den Zugriff wenn nicht gesperrt beim ausschalten.) Slide 12

4 Aktuelle Schwachstellen November 2010: Umgehung der Code-Sperre beim iphone mit ios 4.x 1. Drücken der Notruf Taste 2. Eingeben einer beliebigen Sequenz; z.b. ### 3. Drücken der Anrufen Taste 4. Sofortiges Drücken der Sperrtaste (oben am Gerät) Slide 13 Aktuelle Schwachstellen November 2010: Auslesen der Userdaten mit der BackUp- Funktion Bei unverschlüsselten BackUp s werden Passcodes entfernt Bei verschlüsselten BackUp s bleiben die Passcodes im verschlüsselten Container erhalten Slide 14

5 Die Gegenwart Auszug aus den aktuellen Lagebericht zur IT-Sicherheit des BSI (Bundesamt für Sicherheit in der Informationstechnik) Cyberkriminelle nutzen neben Botnetzen, Spamversand und Phishing- s zunehmend Infiltration über Mobiltelefone und WLAN Slide 15 Die Gegenwart 2008: Einführung der Dienstleistung Smartphone Security Resonanz: Eine Anfrage pro Quartal L 2010: Positionierung der Dienstleistung Smartphone Security Aktuell: 2-5 Anfragen pro Woche J Slide 16

6 Die Gegenwart Geräte vs. Applikationen (Weltweite Marktanteile 06/2010) Geräte Applikationen Slide 17 Die Gegenwart Situation im Unternehmen: Got Boss, got iphone? Passt ein iphone ins Unternehmen? Nein! Eigentlich nicht!... Es sei denn Wie kommt es dann, dass dennoch so viele iphones in Unternehmen auftauchen? I am the Boss go get me an iphone! But Boss, iphones are the source of all evil. It s so vulnerable. We would expose our network, open the firewall, data leakage and much more!!! Oh?! However I am the Boss go get me an iphone! *sigh* Slide 18

7 Das Mobile Netzwerk Allgemein Mobile Geräte: kritisch und oft vergessene Kinder... Mobile Geräte arbeiten oft ohne schützende Firmen-Firewall. Sie werden viel transportiert und sind einfach zu bewegen. Sie kommunizieren mit fremden Netzen über unsichere Verfahren. Die Benutzer haben oft Administrator-Rechte. Können einfach entwendet, geklaut oder zerstört werden... Werden im Sicherheitskonzept oft vergessen oder bewusst nicht berücksichtigt. Übrigens: Haben Sie die Verschlüsselung Ihres BlackBerrys oder den Zugangsschutz Ihres iphones aktiviert? Slide 20

8 Mobile Network Architecture Ansatzpunkte möglicher Manipulationen Slide 21 Mobile Phone Interfaces Schnittstellen für den Malware-Zugang! Bluetooth GSM Anwendungen (Apps) Updates Internetseiten LAN / WAN / WLAN/UMTS Slide 23

9 Glauben Sie dass die Handy-Ortung James Bond & Co. vorenthalten ist? Wo bin ich? Ortung mittels GSM

10 Grundsätzliches Jeder, der Signale aussendet, kann prinzipiell auch geortet werden. Im Umkehrschluss kann man sich selbst orten, indem man Signale, welche von bekannten Positionen gesendet werden, auswertet. Slide 26 Referenzpunkte im Mobilnetz Der Base Station Controller (BSC BSC) kontrolliert mehrere Basisstationen (BTS), teilt diesen die zu nutzenden Frequenzen zu und kann den Handover veranlassen. Das Mobile Switching Center (MSC MSC), dient als Vermittlungsknoten für die Weiterleitung der Anrufe und SMS- Nachrichten innerhalb des Netzes oder in das Festnetz. Das MSC kommunizieren über das Signalling System #7 (SS7 SS7). Das Visitor Location Register (VLR VLR), speichert Daten der User, die das MSC nutzten und keine Kunden des jeweiligen Netzbetreibers sind. Das Home Location Register (HLR HLR) eines Netzbetreibers enthält die persönlichen Daten aller Kunden. Die Zelle (Celll Celll) ist die direkte Luftschnitte zum Teilnehmer Slide 29

11 Vermittlungsweg im GSM-Netz PSTN HLR/ AuC MSC MSC MSC VLR VLR VLR BSC BSC =LAC BTS BTS =CellID BTS BTS BTS BTS BTS Slide 30 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Slide 32

12 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten Slide 33 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) Slide 34

13 Ortung durch LBS Location Based ID MCC (Mobile Country Code) Anhand der ersten Ziffer kann man eine kontinentale Einordnung vornehmen: 0 nicht vergeben 1 nicht vergeben 2 Europa 3 Nordamerika und Karibik 4 Asien, Indien, naher Osten 5 Australien und Ozeanien 6 Afrika 7 Südamerika 8 nicht vergeben 9 Welt Siehe auch Slide 35 Ortung durch LBS Location Based ID MCC (Mobile Country Code) Die zweite und dritte Ziffer definiert das Land (Auswahl): 262 Germany 228 Switzerland 232 Austria 234 United Kingdom 235 United Kingdom 310 bis 316 United States of America Siehe auch Slide 36

14 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) Slide 37 Ortung durch LBS Location Based ID MNC (Mobile Network Code) Der MNC steht für den Netzbetreiber Deutschland 01,06 T-Mobile 02,04,09 Vodafone 07,08,11 O 2 Schweiz 01 Swisscom Mobile 02 Sunrise 03 Orange Slide 38

15 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) LAC (Location Area Code) organisatorische Zusammenfassung von Zellen Slide 39 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) LAC (Location Area Code) organisatorische Zusammenfassung von Zellen Cell ID, zwei Bytes die eine Zelle innerhalb einer LAC identifizieren Slide 40

16 Ortung durch LBS Location Based ID In unserem Beispiel wäre die eindeutige Location Based ID MCC MNC LAC CID Aktuelle Position (LAI) xxx xx xx xxxxx Slide 50 Ortung durch LBS Location Based ID Alternative Tools zum Ermitteln der Location Based ID GPS Tracker Peilsender TK102-2 Live Demo [ ] Siehe auch und Slide 52

17 Was nun? Die Ermittlung des Standortes ist auch eine Frage der richtigen Datenbank Ermittlung der Referenzkoordinaten Die Ermittlung des Standortes ist eine Frage der Datenbank. Ziel: Cell-ID zu Koordinaten (z.b. UTM-System, Gauß-Krüger, Google etc.) Datenbank der Netzbetreiber Nachteil: Non-Public, nur den Netzbetreibern und Behörden zugänglich Nutzung freier Datenbanken Nachteil: Örtlich begrenzt, unvollständig Googledaten??? Nachteil: Non-Public Slide 54

18 LiveDemo [Use Google's Dataset] Ermittlung der Referenzkoordinaten Wie sammelt Google seine Daten? Übermittlung der Daten Slide 57

19 Ortung mittels SS7-Protokoll Ortung mittels SS7 Was ist SS7? Eine Sammlung von Protokollen und Verfahren für die Signalisierung in Telekommunikationsnetzen. Welche Routing-Infos werden zurück gegeben? die IMSI (die echte Rufnummer) Die Kennung der genutzten MSC Benutzer-Fehler (z. B. "Absent Subscriber" == das Telefon ist ausgeschaltet) Slide 63

20 LiveDemo [Ortung mittels SS7 Abfrage] Ortung mittels SS7 Auch hier ist die Nutzung der richtigen Datenbank essentiell! T-Mobile Germany Vodafone Germany Berlin Hamburg Frankfurt Stuttgart München Slide 65

21 Ortung mittels SS7 Auch hier ist die Nutzung der richtigen Datenbank essentiell! Orange Switzerland Bern Basel Zürich Slide 66 Ortung mittels SS7 Ermitteln des MSC in xxx! T-Mobile Germany Vodafone Germany xxx xxxx xxxx Slide 67

22 Selbsttest [ xxxx] + Identifikationsfälschung [Call-ID-Spoofing]

23 Call-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? Oft dient die Rufnummer (CLIP) als Identifikationsmerkmal des Anrufers (z.b. bei Telefongesprächen, Fernzugängen, Anwendungen etc.) Zugriffsbeschränkungen mittels Rufnummernidentifizierung können umgangen, bzw. beim Social-Engineering unterstützend eingesetzt werden. Matching der Rufnummern in EU-Endgeräten erfolgt nur bis zur max. 7. Stelle Slide 75 Call-ID-Spoofing Anbieter kommerzieller Call-ID-Spoofing-Dienste Slide 76

24 Call-ID-Spoofing Werkzeuge zum Call-ID-Spoofing Telefonanschluss mit Dienstmerkmal CLIP -no screeningoder SIP-Gateway ins PSTN (z.b. Softphone (z.b. Slide 77 LiveDemo [Call-ID-Spoofing] +

25 Call-ID-Spoofing (MITM-Angriff) Call-ID ID-Spoofing Spoofing-Angriff Eingehender Anruf: Paris Hilton Freiton Slide 79 Identifikationsfälschung [SMS-ID-Spoofing]

26 SMS-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? Ähnlich wie mittels Rufnummernidentifizierung kann Social- Engineering unterstützend eingesetzt werden. Anstatt Nummern-Identifizierung kann der Absender direkt benannt werden. Phishing via SMS ist noch weitgehend unbekannt und daher aussichtsreicher. Keine Content-Filter vorhanden (wie z.b. bei s) Slide 85 SMS-ID-Spoofing Beispiele Slide 86

27 SMS-ID-Spoofing Beispiel 1: SMS-Phishing mittels SMS-Spoofing Beispiel einer Phishing-SMS Originalnachricht des Netzbetreibers Slide 87 SMS-ID-Spoofing Beispiel 1: SMS-Phishing mittels SMS-Spoofing Beispiel einer Phishing-SMS Gefälschte Nachricht auf Grundlage der Netzbetreiber-SMS Slide 88

28 SMS-ID-Spoofing Beispiel 2: SMS-Phishing mittels SMS-Spoofing Den Wettbewerber zuhause lassen Slide 89 SMS-ID-Spoofing Werkzeuge zum SMS-ID-Spoofing Anbindung an einem SMS-Hub eines Providers (z.b. oder Short Message Service Centre (SMSC) mit UCP Zugangsprotokoll Beispielsweise: Germany D n1 UCP Switzerland Swisscom n1 UCP Schnittstelle als Provider ans SS7 Übertragung zwischen MSC und SMSC erfolgt im MAP (Mobile Application Part) des SS7 Slide 90

29 LiveDemo [SMS-ID-Spoofing] Missbrauch des Soundlogos [Early Media]

30 Early Media Der Early Media Stream Übermittelt bereits während des Rufaufbaus Audioinformationen Eigentlich für individuelle Freizeichen und Ansagen wie Kein Anschluss unter dieser Nummer, Teilnehmer ist vorübergehend nicht erreichbar und Preisansagen gedacht Erfolgt vor dem Verbindungsaufbau und ist daher kostenfrei Slide 93 Early Media Nutzung von Chanspy und Whisper unter Asterisk Ursprünglich zu Schulungszwecken in Callcenter entwickelt Umgehung von Vorratsdatenspeicherung Mikrofone von Teilnehmern sind schon während der Rufphase geöffnet Erfolgt vor dem Verbindungsaufbau und ist daher kostenfrei INVITE 183 Session Progress Early Media Chanspy Whisper Early Media Timeout/ Cancel Slide 94

31 EarlyMediaStream Gespräche belauschen während des Freitons Infos Freiton Rufaufbau Ring Slide 95 LiveDemo Lauschangriff [Early Media] +

32 Please Call Me [ xxxx] Selbsttest [ xxxx] 1. Call (Record) 2. Call (Play Back)

33 SIM-Schnittstelle als Angriffsvektor auf mobile Endgeräte [SIM Application Toolkit] SIM Application Toolkit Weshalb ein Angriff auf die SIM-Schnittstelle? SIM Schnittstelle als universeller Angriffsvektor auf mobile Endgeräte Standardisierte Schnittstelle Realisierung: Hardware-basierter Man-in-the-middle-Angriff Fernwirken von Endgeräten (wie teilweise schon von den Netzbetreibern genutzt) Slide 100

34 SIM Application Toolkit Funktionen des SIM Application Toolkit Versand und Empfang von Kurznachrichten (SEND SHORT MESSAGE, SMS-PP Download) Initiieren ausgehender Anrufe (SET UP CALL) Umleiten ausgehender Anrufe (CALL CONTROL) Positionsbestimmung Datenübertragung via GPRS/UMTS Senden von AT-Kommandos an das Endgerät usw.. Slide 101 SIM Application Toolkit Funktionsweise eines SAT-Angriffs SIM-Karte kann die beschriebenen SAT-Funktionen nutzen Keine Kryptografie zwischen SIM und Endgerät Einschleusen eigener SAT-Kommandos möglich SIM wird weiterhin zur Authentisierung benötigt Man-in-the-middle-Angriff durch Einbau eines Mikrocontrollers (z.b. Atmel ATTiny85V) Slide 102

35 SIM Application Toolkit Entwicklungshistorie Slide 103 SIM Application Toolkit Man-in in-the the-middle middle-angriff Beispiel Voice Freiton Call xxxxxxxx Slide 104

36 LiveDemo [SAT-Angriff] Please Call Me [+49 xxxx] Ortung!!!

37 Modeerscheinung Gefängnisausbruch [Jailbreaking] Jailbreaking Situation im Unternehmen: Got Boss, got iphone? Passt ein iphone ins Unternehmen? Nein! Eigentlich nicht!... Es sei denn Wie kommt es dann, dass dennoch so viele iphones in Unternehmen auftauchen? I am the Boss go get me an iphone! But Boss, iphones are the source of all evil. It s so vulnerable. We would expose our network, open the firewall, data leakage and much more!!! Oh?! However I am the Boss go get me an iphone! *sigh* Slide 109

38 Jailbreaking Got children, got jailbreaked? Ein iphone in das Unternehmensnetzwerk einzubinden (z.b. VPN oder Exchange) bedeutet meist das Aufreißen sorgfältig über Jahre hinweg gestopfter Löcher in der Infrastruktur. Richtig gefährlich für das Unternehmensnetzwerk wird es jedoch erst, wenn Bosse Kinder in Computerkompatiblen Alter haben Look what I can do with my iphone now. My son jailbreaked it! He s so clever!!! OMG! Boss, you made it even worse. Now this phone is open for every malware. Our whole infrastructure is on high risk now Oh?! However Look what I can do with my iphone now. My son jailbreaked it! He s so clever!!! *sigh* Slide 110 Jailbreaking Android OS: Die graphische Benutzeroberfläche und die meisten Programme laufen unter einem eingeschränkten Benutzeraccount. Damit ist der volle Zugriff auf die Systemressourcen eingeschränkt. Um diese Beschränkung aufzuheben verändert man das ROM Image des Gerätes so, dass Programme als root (vi su) ausgeführt werden können, und man das Gerät so nutzen kann, wie man es möchte. iphone OS: Das iphone OS (jetzt ios genannt) verhindert den vollen Zugriff auf die Systemressourcen durch Sandboxing, bzw. Software Jails. Jedes Programm läuft in seinem eigenen Jail und erhält nur den Zugriff auf das System, welcher für die Erfüllung der Programmaufgabe notwendig ist. Um diesen Schutzmechanismus auszuhebeln, werden Schwachstellen in Betriebssystemkomponenten ausgenutzt, und die Beschränkungen werden aufgehoben. Slide 112

39 Jailbreaking Vorteile: Volle Kontrolle über das Gerät Die Möglichkeit das Gerät so anzupassen wie man es haben möchte Die Möglichkeit Applikationen unabhängig von Stores zu betreiben Die Möglichkeit Herstellervorgaben bei der Anwendungsentwicklung zu umgehen Nachteile: Garantieverlust Offen für Malware Offen für Fehlbedienung Slide 113 LiveDemo [Let s hack the BOSS ]

40 Let s hack the BOSS I am the boss. And that s my iphone Internet I m connected to our intranet over VPN via public hotspot. Yeah! Slide 115 Angriffe auf mobile Endgeräte mittels Malware [Trojaner & Co.]

41 Mobile Phone Malware Kommerzielle Trojaner: MOBILE SPY überwacht iphone und viele anderen Handys ab $49.00 im Quartal Inkl. 24/7 Support Slide 123 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker FlexiSpy. Für fast alle Plattformen verfügbar Slide 124

42 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker FlexiSpy. Konfigmenü von FlexiSpy Slide 125 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker FlexiSpy. Konfigmenü von FlexiSpy Slide 126

43 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker FlexiSpy. Slide 127 Mobile Phone Malware Wie sammelt FlexiSpy die User-Daten? Der Trojaner übermittelt alle Daten wie SMS, Calls, , etc. in definierten Intervallen direkt an den Server. Der Angreifer kann die Daten jederzeit übers Internet abrufen. WWW Database Slide 128

44 Resümee Resümee Beziehen Sie mobile Endgeräte unbedingt in Ihren Security Überlegungen mit ein! Ansatzpunkte: Sensibilisierung der Anwender Implementierung eines Mobile Device Managements (siehe auch Open Mobile Alliance Standard OMA Device Management) Backup Update Sicherheitseinstellungen Fernlöschung und Ortung bei Diebstahl Verwendung von Firewall und Virenscanner (ggf. von Drittanbietern) Reglementierung von Anwenderzugriffen Passwort-Richtlinien Slide 131

45 Offene Diskussion Fragen?! Slide 132 Vielen Dank! Vielen Dank für Ihre Aufmerksamkeit! Slide 133

46 Kontakt Compass Security Network Computing CH Jona Secure File Exchange: /filebox PGP-Fingerprint: Slide 134