Einsatz mobiler Endgeräte im Unternehmen. Ausgewählte aktuelle Sicherheitsaspekte

Transkript

1 Der Einsatz mobiler Endgeräte im Unternehmen Ausgewählte aktuelle Sicherheitsaspekte Vortrag auf dem 2. Cyber- Sicherheits-Tag der Allianz für Cyber-Sicherheit Darmstadt, 19. Juni 2013 Marienstrasse 11 D Berlin 0

2 1

3 Agenda 1 Allgemeine Risikofelder 2 Spezifische Plattformrisiken 3 Praxisorientierte Schutzmaßnahmen 2

4 Risikofelder Taxonomie 1 Mobile Endgeräte weisen die höchste Dichte an möglichen Angriffsvektoren von allen informationstechnischen Systemen auf SIM 2G/3G/LTE- Baseband Bluetooth NFC Netzwerk- Stacks Apps Frameworks Bibliotheken Touch / Keyboard (A)GPS Betriebssystem Dateisysteme WLAN RAM CPU GPU USB Flash SD- Card 3

5 Risikofelder Lauschangriffe auf Sprache & Daten 1 Lauschangriffe auf Sprache und Daten sind durch den massiven Preisverfall von Hard- und Software heute für jeden ernsthaft Interessierten möglich Lokales, gezieltes Abhören von Sprache und Daten (A5/1-Angriffe, Downgrade- Angriffe gegen 3G) ist heute mit relativ einfachen Mitteln möglich Auch die gezielte Überwachung z.b. eines großflächigen Firmengeländes ist durch das Abhören von Richtfunkverbindungen preiswert realisierbar Auch wirtschaftliche Akteure können in der Netzinfrastruktur landesweit überwachen & Gespräche mitschneiden z.b. durch Bestechung Schlußendlich lässt sich das Ausforschen von usw. durch Umleitung von Datenverkehr besonders einfach bewerkstelligen 4

6 Risikofelder Lauschangriffe auf Sprache & Daten Beispiel 1 Dabei sind sowohl lokales Anzapfen von einzelnen Telefonen als auch Überwachung von ganzen Firmengeländen heute Realität Lokale Lauschangriffe sind keine akademische Bedrohung Praxisbeispiel Einfache Systeme für passive lokale Lauschangriffe benötigen unter für den Angreifer günstigen Voraussetzungen lediglich einen handelsüblichen Computer, geeignete Software und Mobiltelefone mit modifizierter Firmware Preiswerte Verfügbarkeit von Surplus-Equipment aus Telco-Rationalisierungen hat Kreis der möglichen Angreifer für Überwachung auch großer Firmengelände deutlich erweitert 5

7 Risikofelder Angriffe über die Luftschnittstelle 1 Über die Luftschnittstelle(n) heutiger Smartphones und Tablet-Computer werden auch Angriffe auf das mobile Endgerät selbst vorgenommen Die Luftschnittstelle ist naturgemäß das erste Ziel zahlreicher Angriffe - Allgemeiner Preisverfall für GSM-Hardware und Verfügbarkeit von Open- Source-Software macht aktive Angriffe auch hier immer preiswerter NFC ist kaum daß es die Bühne betritt schon ein neuer Lieblings-Angriffsvektor Picozellen sind sowohl Angriffsziel als auch Werkzeug für aktive Angriffe Die GSMK hat mit umfangreicher Forschungstätigkeit die Realisierbarkeit zahlreicher Baseband-Angriffe und Manipulation des 2G-Signaling nachgewiesen - Hostile Network -Szenarien waren bisher kaum Bestandteil der Risikomodelle - Kosten für Funknetzhardware fallen Angriffe werden leichter & billiger - Baseband-Software besteht aus wenigen, über viele Jahre gewachsenen und mutierten Software-Stacks große Angriffsfläche - Konglomerate aus lizensierten, kopierten, wiederverwendeten Komponenten - insb. 2G-Stacks enthalten oft kaum noch wartbaren C-Code aus den 1990ern - Viele artfremde komplexe Komponenten wie etwa Multimedia-Module 6

8 Risikofelder Angriffe über die Luftschnittstelle Beispiel 1 Die gezielte Übernahme des Baseband-Prozessors und dessen Nutzung als Sprungbrett ist ein neuer Angriffsweg mit besonders weitreichenden Folgen Umfangreiche GSMK-Forschungstätigkeit im Rahmen von SMOG Hohe Verwundbarkeit der überwiegenden Mehrzahl der in heutigen Mobiltelefonen verwendeten Baseband-Prozessoren nachgewiesen Praxisbeispiel Problem: Telefon-Hersteller sind i.d.r. nur OEM, ihre Motivation Baseband- Patches auszurollen ist gering Je nach Gerätearchitektur ist das Baseband der Memory Master, d.h. Sprungbrettangriffe vom Baseband auf Gerätedaten sind möglich Kontrolle des Audiopfades durch den Baseband- Prozessor ermöglicht Wanzenfunktionen DoS-Angriffe (Telefon nicht erreichbar) sind zahlreich und einfach durchzuführen GSMK-Gegenmaßnahme: Baseband Firewall 7

9 Risikofelder Angriffe über Schadsoftware 1 Angriffe gegen mobile Endgeräte über Schadsoftware stellen derzeit das größte praktische Sicherheitsrisiko im Unternehmenseinsatz dar Zur Systematik von Schadsoftware ist anzumerken, daß typische Exploit-Techniken heute üblicherweise miteinander kombiniert und verkettet werden Hinsichtlich Schadcode in Apps bleibt die Erkenntnis, daß nutzerinstallierte Anwendungen unberechenbare Risiken bergen, umso dringlicher bestehen Es bestehen gut etablierte Methoden zur Rechteeskalation und Aushebelung von Mitigations-Techniken wie auch für Browser-Exploits und "Drive-by"-Angriffe Nicht zuletzt für international tätige Unternehmen gilt es auch, sich vor schädlichen Operator-Updates sehr genau in Acht zu nehmen 8

10 Risikofelder Angriffe über Schadsoftware Beispiel 1 Over-the-Air Software Update-Mechanismen sind bereits zur Installation von Schadsoftware mißbraucht worden Achtung nicht zuletzt im Ausland! Etisalat (UAE) hat ein von der Überwachungsfirma SS8 entwickeltes Spähprogramm allen seinen BlackBerry- Kunden per WAP-Push zum Download aufgedrängt: Etisalat network upgrade for Blackberry service. Please download to ensure continuous service quality. Praxisbeispiel Update diente der Übermittlung aller gesendeten s an Überwacher Nachlässig implementiert, Batterielebensdauer beeinträchtigt Auch gezielte OTA-Update-Angriffe gegen wenige Geräte sind möglich und werden insb. von staatlichen Angreifern mit Operator-Kontakten gern verwendet 9

11 Risikofelder Datenpreisgabe 1 Die verdeckte oder verschleierte Weitergabe von Daten durch Applikationen/ Betriebssystem unterminiert die Vertraulichkeit unternehmerischen Handelns Fragwürdige Geschäftsmodelle vieler Marktteilnehmer übersetzen sich in handfeste Risiken für den Einsatz von mobilen Geräten im Unternehmen Der PC dient oft als Sprungbrett aufs mobile Endgerät (Jailbreaks / Rooting via USB; lokale Synchronisationsprotokolle komplex, anfällig und wenig auditiert) Eine Wolke sie zu knechten, auf ewig zu binden: - Wenn Angreifer Zugriff auf Cloud-Accounts hat, sind alle sonstigen Schutzmechanismen hinfällig - Kopplung von Storage, Synchronisation und Device- Management hochgradig gefährlich - Gängige Online-Backups mit Nutzung externer Infrastruktur stellen ein schweres Risiko für die Sicherheit von Unternehmensdaten dar Sicherheitsfaktor Nutzergedächtnis: Keine praktikable two-factor Authentication für Mobilgeräte am Markt; für die Authentisierung mobiler Endgeräte ist ein granulares, engmaschiges Management erforderlich 10

12 Risikofelder Datenpreisgabe Beispiel 1 Für diese Problematik der Datenpreisgabe existiert eine lange und unrühmliche Liste weitverbreiteter Spionage- und Nutzeranalysesoftware Große Vielfalt an Tracking & Monitoring-Lösungen für Werbeoptimierung Ausnutzen der Nutzer-Naivität (Foursquare etc.) CarrierIQ und andere vergleichbare Software speichert eine Vielzahl von Nutzer-Interaktionen auf dem Mobilgerät und überträgt sie zum Carrier bzw. zu firmeneigenen Auswerteservern Detailgrad der Speicherung geht bis hin zu einzelnen Touch-Events (HTC Sense), woraus sich problemlos Tastatur-Eingaben rekonstruieren lassen Speicherung von Geolokations- und Aufenthaltsdaten (ios), partiell Übermittlung Viele Apps enthalten eigene Tracking-Funktionen, von relativ harmloser Nutzungszeit-Erfassung bis zu Lokation, Gerätedetails und eindeutigen Nutzer-IDs Praxisbeispiel 11

13 Agenda 1 Allgemeine Risikofelder 2 Spezifische Plattformrisiken 3 Praxisorientierte Schutzmaßnahmen 12

14 Plattformrisiken - Updategeschwindigkeit 2 Plattformsicherheit wird maßgeblich durch Geschwindigkeit der Verbreitung von verfügbaren Updates bestimmt Apple ios RIM Blackberry Android 13

15 Plattformrisiken Bibliotheken 2 Es existieren außerordentlich große Risiko-Überschneidungen zwischen den einzelnen Plattformen Verwendung von Standard-Komponenten aus der Open-Source-Welt erzeugt Risikobündelung über Plattformgrenzen hinweg Versionsvielfalt und Hersteller-Patches machen echten Cross-Plattform- Exploit selten, aber möglich Komponenten-Inventory und Monitoring der Sicherheitslage auf Komponenten-Ebene ist dringend anzuraten Beispiel: OpenSSL 14

16 Plattformrisiken Applikationen und Dienste (1) 2 Der einfachste Angriffsweg gegen ein mobiles Endgerät ist und bleibt das Unterschieben einer schädlichen Applikation oder eines Dienstes Bouncer & Co. sind unvollkommene Versuche, Apps vor Aufnahme in den jeweiligen Marktplatz auf Schadsoftware hin zu testen - Beispiel Google Bouncer zeigt, daß es sich um Mitigation handelt, die umgehbar und aushebelbar ist, egal wie viel Aufwand investiert wird - Abschreckung von dummer und lästiger Malware als Hauptziel Auch herstellereigene Software birgt zahlreiche Risiken Beispiel Apple: Background Notification als universelles Bottleneck - Alle Background-Kommunikation mit dem Endgerät geht durch Apples Server - Auch MDM-Nachrichten etc. sind abhängig von der Verfügbarkeit des Dienstes - Eigentümerschaft über Kommunikation erzeugt totale Abhängigkeit von Apple - Nicht einmal Unternehmenslösungen à la BES verfügbar Sandboxing ist nicht die Wunderwaffe, als die es gerne präsentiert wird Bouncer 15

17 Plattformrisiken Applikationen und Dienste (2) 2 Die populäre Applikation WhatsApp verdeutlicht exemplarisch die Risiken des Einsatzes (auch weitverbreiteter) nicht sicherheitsauditierter Software Praxisbeispiel Typisches Beispiel für extrem beliebte, weitverbreitete, anfällige crossplattform-software Leakt Nutzerdaten, keine bzw. kaputte Verschlüsselung Anfällig für Angriffe, da Password nachvollziehbar generiert (MSISDN bzw. IMEI) 16

18 Agenda 1 Allgemeine Risikofelder 2 Spezifische Plattformrisiken 3 Praxisorientierte Schutzmaßnahmen 17

19 Schutzmaßnahmen Angreiferklassifikation 3 Vor der Planung gilt es, sich zunächst unterschiedliche Angreifermotivationen und resultierende Schutzanforderungen zu vergegenwärtigen Ziele: Management und Reduktion der vorab aufgezeigten Risiken Korrekte Einschätzung der Angreifer-Motivation essentiell: (a) Feld, Wald und Wiesen -Cyberkriminalität - Opportunistischer Angriff auf große Zahl von Geräten - Primäres Ziel ist Geld - Premium-Nummern, Kreditkartendaten, Game-Accounts (b) Klandestine Informationsbeschaffung / Spionage - Gezielter Angriff auf ein Unternehmen / Unternehmensgruppe - Ressourceneinsatz auf Staats- bzw. Großkonzern-Niveau - Zugriff auf zero day -basierte Angriffswerkzeuge - Hohes Maß an Arbeitsteilung (Angriff, Persistenz, Exfiltration, Auswertung) 18

20 Schutzmaßnahmen Einsatzgrundsätze 3 Sodann stellt sich die elementare organisatorische Frage: Sichere Umgebung auf Erst- oder Zweitgerät? Hat der Nutzer ein Mobilgerät, auf dem sicherheitskritische und risikogeneigte Apps gemeinsam laufen müssen oder gibt es eine Gerätetrennung? Virtualisierungslösungen für Mobilgeräte sind derzeit noch nicht reif für den breiten Markt, es ist hier allerdings deutlicher Fortschritt in der nächsten Zukunft zu erwarten - Akkulaufzeit problematisch - Verfügbarkeit auf aktuellen Plattformen schwierig (Portierungsaufwand) - Prozessorbasis auf aktuellen ARM-basierten Geräten nicht virtualisierungsgeeignet (ändert sich mit Cortex A-15 und evtl. mit Intels Markteintritt) - Nutzerinteraktion / Visualisierung Sicherheitsniveau ist schwierig - Reine Trennung von Datendomänen (z.b. BlackBerry Balance) näher an der Marktreife, löst aber primär Informationskontrollprobleme 19

21 Schutzmaßnahmen Mobile Device Management 3 MDM bringt Sicherheitsgewinne, sollte aber auch keinen Illusionen in Sachen Schutz vor Angriffen Vorschub leisten MDM kann vier Dinge gut: - Nutzer-Dummheiten verhindern bzw. begrenzen - die Auswirkungen ungezielten Geräteverlusts eingrenzen bzw. abschwächen - einheitlichen Update-Stand in gesamter Geräteflotte sicherstellen - Informationskontrolle auch für BYOD-Szenarien MDM kann nicht: - gezielte Angriffe mit hohem Ressourceneinsatz verhindern - Angriffe zuverlässig erkennen - Informationsabfluss durch technisch gebildeten motivierten Nutzer verhindern - Gezielte Diebstähle zur Datenerlangung verhindern oder abwehren 20

22 Schutzmaßnahmen Praxisorientierte Empfehlungen (1) 3 Für unternehmenseigene Geräte ist mit abgestimmten Schutzmaßnahmen ein noch akzeptables Sicherheitsniveau für den regulären Einsatz erreichbar Ausgabe von mobilen Endgeräten durch das Unternehmen an Mitarbeiter sollte unbedingt auf die aktuellste Gerätegeneration beschränkt werden Signifikante Verbesserungen in allen wesentlichen Sicherheitsbereichen und beim Mobile Device Management in ios 6, Android 4.1 und Blackberry 10 Für mobile Endgeräte im regulären Unternehmenseinsatz ohne erhöhten Schutzbedarf sollten mindestens die folgenden Sicherheitsmechanismen implementiert sein: Aktives Geräte- und Update-Management: MDM, Sicherstellung einer sehr zeitnahen Aktualisierung aller eingesetzten Mobilgeräte auf den jeweils aktuellsten Patch-Stand Beschränkung der installierbaren Apps: Z.B. durch Corporate App Market und Appwrapping, bei dem Management-Schicht zusätzl. Kontrollmöglichkeiten bietet Zwangs-VPN: Erzwingung einer verschlüsselten VPN-Verbindung zu einem vom Unternehmen kontrollierten Netzknoten, auf dem sich verschiedene erwünschte Verhaltensweisen des Mobilgeräts netzseitig erzwingen lassen Geräteverschlüsselung mit aktivem Passwort- und Rechtemanagement Ersetzen von Cloud-Diensten durch vom Unternehmen selbst betreibbare Lösungen 21

23 Schutzmaßnahmen Praxisorientierte Empfehlungen (2) 3 Andere Einsatzszenarien erfordern darüber hinausgehende Maßnahmen bzw. einen Verzicht auf den Einsatz mobiler Geräte in diesem Umfeld Für Mitarbeiter in sensiblen Bereichen mit erhöhtem Schutzbedarf sind darüber hinausgehende Maßnahmen erforderlich Gegen Angriffe besonders gehärtetes Betriebssystem, Baseband-Firewall usw. im Kontext von hochsicheren Produkten verfügbar Wenn die Mehrkosten für hochsichere Produkte gescheut werden, sollte Stand heute auf den Einsatz mobiler Endgeräte in sensiblen Bereichen verzichtet werden BYOD-Szenarien weisen derzeit so viele Risiken auf, daß mitarbeitereigene mobile Endgeräte im Unternehmensumfeld aus Sicherheitssicht bis auf weiteres nicht verwendet werden sollten 22

24 3 Schutzmaßnahmen Praxisorientierte Empfehlungen (3) Ein Beispiel für ein hochsicheres mobiles Endgerät stellt das Androidbasierte GSMK CryptoPhone 500-System dar Praxi sbeis Hochsicheres, integriertes Lösungspaket für Android 4.x / Samsung Galaxy-Serie piel Abhörsicherheit durch Ende-zu-Ende Verschlüsselung von Sprache & Nachrichten Gehärtetes Android-Betriebssystem mit granularem Rechtemanagement, sicherheitsoptimierten Komponenten u.v.a.m. Baseband Firewall bietet z.zt. einzigartigen, zum Patent angemeldeten Schutzmechanismus gegen Angriffe über die Luftschnittstelle Mehrstufiges Speicherverschlüsselungssystem schützt bei Verlust oder Diebstahl sensitive Daten auf dem Gerät vor unberechtigtem Zugriff 23

25 Vielen Dank für Ihre Aufmerksamkeit Dr. Björn Rupp " "GSMK Gesellschaft für Sichere Mobile" Geschäftsführer " "Kommunikation mbh " "Tel CRYPTTEL [ ]" " " "Fax CRYPTFAX [ ]" " " " 24