Unabhängige Prüfung ganzheitliche Optimierung

Transkript

1

2 Unabhängige Prüfung ganzheitliche Optimierung SCHUTZWERK ist Ihr Partner für die unabhängige Prüfung und ganzheitliche Optimierung aller Aspekte der Informations- und ITSicherheit in Ihrem Unternehmen. 2 /39

3 Inhalt 1 Einführung / Überblick 2 Bedrohungsszenarien 3 Angriffe in der Praxis 4 Maßnahmen und Konzepte 5 Fazit 3 /39

4 Inhalt 1 Einführung / Überblick 2 Bedrohungsszenarien 3 Angriffe in der Praxis 4 Maßnahmen und Konzepte 5 Fazit 4 /39

5 Einführung / Überblick Definition Definitionen von Mobile Computing > Taking a computer and all necessary files and software out into the field. [1] > Being able to use a computing device even when being mobile and therefore changing location. Portability is one aspect of mobile computing. [2] > etc. Mobile Computing besteht aus drei wesentlichen Bestandteilen mobile Kommunikation mobile Hardware mobile Software Es gibt vielfältige Arten von mobilen Endgeräten > Notebook, Handys, Tablets, Smartphones etc. [1] U.S. DEPARTMENT OF THE INTERIOR [2] MobileMAN GLOSSARY 5 /39

6 Einführung / Überblick Entwicklung Handys und PDAs haben sich zu Smartphones oder Tablets entwickelt In einem Smartphone oder Tablet werden die Funktionen von verschiedenen Endgeräten kombiniert wie z.b.: > Telefonie > Textnachrichten ( , SMS, IM etc.) > Termin-/Kalenderfunktionen > Internet surfen > etc. 6 /39

7 Einführung / Überblick Privates Nutzungsverhalten ARD/ZDF-Onlinestudie 2013 [1]: > Mobile Endgeräte wie z.b. Smartphones oder Tablets lösen stationäre Geräte zunehmend ab. Aktuell besteht der größte Zuwachs bei Tablets. > Smartphones werden beispielsweise am häufigsten für Instant Messaging, Soziale Netzwerke sowie zum Abrufen von Nachrichten verwendet (siehe Abbildung rechts) [1] ARD/ZDF-Onlinestudie 07-08/ /39

8 Einführung / Überblick Überlappung von privater sowie geschäftlicher Nutzung Eine Studie der IDG Global Solutions (IGS) [1] hat ergeben, dass sich private sowie geschäftliche Nutzung von mobilen Endgeräten zunehmend überschneiden Dies wird ebenfalls von verschiedenen Umfragen der BITKOM [2] bestätigt: > Fast drei Viertel (71 Prozent) aller Berufstätigen in Deutschland nutzen privat angeschaffte Geräte wie Computer und Handys für ihre tägliche Arbeit > 27 Prozent aller deutschen Unternehmen geben an, dass Mitarbeiter mit ihren privaten Geräten Zugriff auf das interne Netzwerk der Organisation haben Das Thema Bring Your Own Device (BYOD) gewinnt immer stärker an Bedeutung [1] IDG Mobile 2013 Survey 07/ [2] BITKOM 04/ /39

9 Einführung / Überblick Nutzungsverhalten im Unternehmensumfeld Laut einer IDG Global Solutions (IGS) [1] Studie, wird z.b. ein Smartphone für folgende Aufgaben verwendet: [1] IDG Mobile 2013 Survey 07/ /39

10 Einführung / Überblick Zugriff auf Unternehmensdaten Innerhalb des Unternehmens werden Smartphones oder Tablets immer häufiger dafür verwendet sensitive sowie vertrauliche (Unternehmens)Daten zu übertragen und zu verarbeiten Rund jeder dritte Beschäftigte (32 Prozent) greift von unterwegs auf die IT seines Arbeitgebers zu [1] 15 Prozent der Beschäftigten nutzen den mobilen Zugriff auf unternehmensspezifische Anwendungen [1] Oft werden die mobilen Endgeräte in den IT-Sicherheitssystemen, Richtlinien und Prozessen der Unternehmen entweder nicht oder nur unzureichend betrachtet > Mangelnde Sicherheitsrichtlinien/-strategie > Mangelnde technische Lösungen zum Management der mobilen Endgeräte > Mangelhafte Sensibilität der Benutzer > etc. [1] BITKOM 07/ /39

11 Einführung / Überblick Mobile Bedrohungen: Betriebssystem (1) Mobile Vulnerabilities auf Basis des zweimal jährlich erscheinenden IBM XForce Trend and Risk Reports [1] vom September 2011 [1] IBM X-Force Trend and Risk Report 09/ auf Seite /39

12 Einführung / Überblick Mobile Bedrohungen: Betriebssystem (2) Android ist laut dem aktuellen Mobile Threat Report Q [1] von F-Secure sowie dem Mobile Security Report February 2014 [2] von McAfee mit Abstand am häufigsten von mobiler Malware betroffen. [1] F-Secure Mobile Threat Report Q3/ [2] McAfee Mobile Security Report 02/ /39

13 Einführung / Überblick Mobile Bedrohungen: Ausprägungen und Motivation In dritten Quartal 2013 wurden neue mobile Bedrohungsfamilien und -varianten entdeckt (Abb. links), die in erster Linie finanziell motiviert sind (Abb. rechts) [1] [1] F-Secure Mobile Threat Report Q3/ /39

14 Inhalt 1 Einführung / Überblick 2 Bedrohungsszenarien 3 Angriffe in der Praxis 4 Maßnahmen und Konzepte 5 Fazit 14 /39

15 Bedrohungsszenarien Physische Bedrohungen Verlust oder Diebstahl des Smartphones > Materieller Schaden Smartphone muss neu beschafft werden > Immaterieller Schaden Verlust von sensiblen personenbezogenen Daten Verlust von kritischen Unternehmensdaten In einer aktuellen Studie aus Großbritannien wurde ermittelt, dass annähernd 10 Millionen mobile Geräte mit sensitiven Geschäftsinformationen im Jahr 2013 in UK von Mitarbeitern verloren wurden [1] [1] EE Research UK 03/ /39

16 Bedrohungsszenarien Bedrohungen auf drahtloser Kommunikationsebene Passive Angriffe auf die drahtlose Datenkommunikation > Abhören von sensiblen Daten mit schwacher oder keiner Verschlüsselung Verwendung von nicht Vertrauenswürdigen drahtlosen Übertragungskanälen (z.b. Hotspots, Hotel WLAN, Netzwerke auf Konferenzen) GSM Mobilfunknetz Gesetzliche Telefonüberwachung Aktive Angriffe auf die drahtlose Datenkommunikation > Umleitung der Datenkommunikation Routing Angriffe (z.b. DNS Manipulation) > Man-in-the-middle Angriffe WLAN (z.b. Hotspots, Hotel WLAN) GSM Mobilfunknetz Gesetzliche Überwachungsmaßnahmen 16 /39

17 Bedrohungsszenarien Bedrohungen auf Softwareebene Ausnutzen von Schwachstellen im Betriebssystem sowie in Apps > Schwachstellen innerhalb des Betriebssystems sowie der Apps können für schadhafte Zwecke missbraucht werden (z.b. Zugriff auf sensible Daten, Anhalten von Diensten) Einfangen von Malware (Schadsoftware) > Ausführen von schadhaften Aktionen ohne Wissen des Benutzers. Dazu zählen z.b. folgende Malware-Kategorien: Trojan horse Spyware Backdoor etc. Bedrohungen der Privatsphäre durch vertrauenswürdige Apps > Vertrauenswürdige Apps sammeln außerhalb des notwendigen Funktionsumfangs sensitive Informationen (z.b. Lokation, Kontaktliste) 17 /39

18 Inhalt 1 Einführung / Überblick 2 Bedrohungsszenarien 3 Angriffe in der Praxis 4 Maßnahmen und Konzepte 5 Fazit 18 /39

19 Angriffe in der Praxis Physische Angriffe Verschlüsselung der Daten (Vergleich mobile Betriebssysteme) Betriebssystem Vollverschlüsselung (FDE) ios >= 4 Ja (standardmäßig) Android Nein Android >= 3 Ja (optional) Blackberry OS >= 4.2 Ja Windows Phone 7.5 Refresh Nein Windows Phone 8 Ja (Bitlocker) 19 /39

20 Angriffe in der Praxis Physische Angriffe Bedrohungsszenario: Klau des Smartphones Angriffsmöglichkeiten: > iphone Jailbreak und Zugriff auf unzureichend geschützte Entries in der Keychain Aktuell: iphone 4 mit IOS sowie iphone 4S - 5C mit ios Zugriff auf den Passcode über das Ausnutzen einer Schwachstelle im iphone Betroffen ist ios bis einschließlich zur aktuellen Version 7 sowie das iphone bis einschließlich Version 4 > Android Cold-Boot -Angriff auf Speicherinhalte des Arbeitsspeichers (RAM) mit FROST Brute-Force -Angriff zur Ermittlung des Android Passcodes Ab Android Version 4.0 Nach 5 fehlerhaften Passcode-Eingaben muss 30 Sekunden gewartet werden 20 /39

21 Angriffe in der Praxis Physische Angriffe - Beispiel ios Angriff: Jailbreak und Ausnutzen einer Sicherheitslücke > Unzureichend geschützte Entries [1] in IOS (links) > Zugriff auf den Passcode durch Sicherheitslücke im Boot-Code [2] des iphone 4 unter ios 7 (rechts) [1] Frauenhofer SIT 12/ [2] Heise Security 12/ /39

22 Angriffe in der Praxis Physische Angriffe - Beispiel Android Angriff: Cold Boot > Zugriff auf verschlüsselte Android-Geräte [1] [1] Universität Erlangen-Nürnberg /39

23 Angriffe in der Praxis Physische Angriffe - Beispiel Android Angriff: Brute Force > Ermittlung des Android Passcodes durch einen Brute Force Angriff über ein Arduino Leonardo Board [1] [1] InfoSecSee 01/ /39

24 Angriffe in der Praxis Angriffe auf drahtloser Kommunikationsebene Bedrohungsszenario: Aktiver Angriff auf die WLAN-Kommunikation Angriff: Man-in-the-middle mit Hilfe eines Rouge Access Points > Smartphones fragen automatisch nach bekannten Access Points (SSID) > Ein Angreifer kann diese Information nutzen, um einen Rouge Access Point mit der gleichen ESSID zu installieren > Das Smartphone verbindet sich automatisch mit dem Rouge Access Point > Der Datenverkehr wird vom Angreifer kontrolliert ( Man-in-the-middle ) Live-Demo 24 /39

25 Angriffe in der Praxis Angriffe auf drahtloser Kommunikationsebene Wikipedia contributors, 'GSM', Wikipedia, The Free Encyclopedia, 25 February 2011, 25 /39

26 Angriffe in der Praxis Angriffe auf drahtloser Kommunikationsebene Sicherheitsschwachstellen von GSM > Der Standard Verschlüsselungsalgorithmus (A5/1) gilt schon seit Jahren als zu schwach Die Hardware zum Abhören des GSM Datenverkehrs ist frei verfügbar (OpenSource) und mittlerweile sehr billig > Innerhalb des Mobilfunknetzes nicht erkennbar, da ausschließlich GSM-Verkehr empfangen wird > Aufzeichnung des Datenverkehrs zwischen dem Mobiltelefon und der Basisstation > Die Kosten für die Hardware belaufen sich auf ca. 70,- Euro (Feature Phone) 26 /39

27 Angriffe in der Praxis Angriffe auf drahtloser Kommunikationsebene Bedrohungsszenario: Passiver Angriff auf das GSM Mobilfunknetz Angriff: Abhören des GSM Datenverkehrs > Hardware Motorola C123 > Software osmocombb[1] (OpenSource) [1] osmocombb /39

28 Angriffe in der Praxis Angriffe auf Softwareebene Aktuelle Meldungen aus diesem Jahr [1]: > ios ios7 reduziert Schutz für -Anhänge ( ) Apple stopft Sicherheitslücken in ios, OS X und WLAN-Basisstationen ( ) ios 7.1: Apple stopft zahlreiche Sicherheitslücken ( ) Sicherheitsfirma: ios für Touch- und Keylogger anfällig ( ) etc. > Android Mining-Malware jetzt auch bei Google Play ( ) Android-Trojaner greift massenhaft Textnachrichten ab ( ) Millionenfach installierte Android-Apps schürfen verdeckt Kryptomünzen ( ) etc. [1] Heise Security Online 28 /39

29 Angriffe in der Praxis Angriffe auf Softwareebene Aktuelle Verbreitungsmethoden: > Besuch von infizierten Webseiten > Alternative App-Stores (z.b. über Repacking [1] siehe Abbildung links) > Bot-Netze [1] lookout 2011 Mobile Threat Report auf Seite /39

30 Angriffe in der Praxis Angriffe auf Softwareebene Bedrohungsszenario: Ausspionieren von Smartphone-Benutzern Angriff: Spyware > FlexiSPY [1] > SpyEye [2] [1] Flexispy - [2] Heise Security Online /39

31 Angriffe in der Praxis Angriffe auf Softwareebene Bedrohungsszenario: Finanzieller Schaden Der Trend im Jahr 2013 sind Mobile Banking Trojans [1]: > Mobile Phishing > Stehlen von Kreditkartendaten (siehe Abbildung rechts) > etc. [1] SECURELIST Mobile Malware Evolution: /39

32 Inhalt 1 Einführung / Überblick 2 Bedrohungsszenarien 3 Angriffe in der Praxis 4 Maßnahmen und Konzepte 5 Fazit 32 /39

33 Maßnahmen und Konzepte Grundsätzliche Sicherheitsmaßnahmen für Smartphones Apps sollten nur aus vertrauenswürdigen Quellen heruntergeladen werden (keine Verwendung von Drittanbieter-Marketplaces) Absicherung des Smartphones durch ein Passwort (ausreichend komplex), um den Zugriff auf die persönlichen Daten bei einem Verlust/Diebstahl des Geräts zu erschweren Merkwürdige Verhaltensweisen des Smartphones (z.b. unverhältnismäßig hoher Stromverbrauch) als Zeichen für eine mögliche Infizierung mit Schadcode wahrnehmen Regelmäßige Aktualisierung der Firmware sowie der auf dem Smartphone installierten Software 33 /39

34 Maßnahmen und Konzepte Technische Sicherheitskonzepte Beispielszenario A Closed Devices > Die Nutzung im privaten Bereich ist nicht gestattet > Es werden ausschließlich vertrauenswürdige Apps verwendet > Z.B. RIM Blackberry mit entsprechenden Richtlinien (BES) 34 /39

35 Maßnahmen und Konzepte Technische Sicherheitskonzepte Beispielszenario B Bring Your Own Device (BYOD) > Klare Trennung zwischen dem geschäftlichen und privaten Bereich > Herstellerspezifische Lösungen gibt es viele, wie z.b.: BizzTrust (Frauenhofer SIT) Geschäftsanwendungen werden durch sog. Security Domains von privaten Anwendungen getrennt [1] Horizon Mobile (VMware) Geschäftliche und private Anwendungen laufen in getrennten virtuellen Maschinen [2] Enterprise Mobility Suite (Microsoft) [3] Dazu gehört u.a. der Cloud-Dienst Windows Intune Knox (Samsung) [4] Security Enhanced Android (SE Android) + Sicherer Bootloader / HW etc. > Einen umfassenden Leitfaden zu Bring Your Own Device hat die BITKOM ausgearbeitet [4] [1] [2] [3] [4] Dieser beinhaltet nicht nur technische sondern auch rechtliche Anforderungen Frauenhofer SIT ix Ausgabe 04/2012 Schutzhüllen S Heise News 03/ BITCOM Leitfaden BYOD 35 /39

36 Maßnahmen und Konzepte Organisatorische Sicherheitskonzepte Technische Sicherheitskonzepte gewährleisten keinen vollständigen Schutz der Firmendaten auf mobilen Endgeräten Organisatorische Richtlinien ergänzen technische Maßnahmen Organisatorische Richtlinien verdeutlichen den Benutzern die Risiken der Nutzung von mobilen Endgeräten Organisatorische Richtlinien sollten den kompletten Lebenszyklus von mobilen Endgeräten abdecken Beschaffung Betrieb / Nutzung Entsorgung Verlust 36 /39

37 Inhalt 1 Einführung / Überblick 2 Bedrohungsszenarien 3 Angriffe in der Praxis 4 Maßnahmen und Konzepte 5 Fazit 37 /39

38 Fazit Die mobilen Bedrohungen entwickeln sich sehr schnell, vor allem im Smartphone-Bereich Durch den zunehmenden Einsatz im Unternehmensumfeld ergeben sich weitere Bedrohungsszenarien Die aktuell verfügbare Soft- und Hardware vereinfacht die Durchführung von Angriffen Wirksame Maßnahmen können nur umgesetzt werden, wenn für die mobilen Endgeräte technische sowie organisatorische Sicherheitskonzepte vorhanden sind 38 /39

39