Willkommen zum Livehacking

Transkript

1 Willkommen zum Livehacking auf dem 6. IT-Security-Day der Clounet

2 Da nachgefragt wurde: Bitte fragen Sie Clounet! Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur Verfügung!

3 Dürfen wir uns vorstellen? Antago: Wer wir sind und was wir tun

4 Was bietet Antago Ihren Kunden? Die Antago GmbH ist ein europaweit tätiges Unternehmen im Bereich der IT- und Informationssicherheit. Wir bieten Dienstleistungen der Spitzenklasse für die strukturierte, bedarfsorientierte Absicherung von Informationen. Unabhängig, kompetent und fair bieten wir Ihnen: Security Scans und Penetrationstests Kompetente Sicherheitsuntersuchungen von Infrastrukturen, Systemen und Applikationen Informationssicherheitsmanagmentsysteme (ISMS) Analyse und Erarbeitung organisatorischer Sicherheit (auch gem. IT-Grundschutz / ISO 27001) Risikoanalysen und Sicherheitskonzepte Bedarfsorientierte Sicherheit: So wenig wie möglich, so viel wie nötig!. Security Awareness Sensibilität im Unternehmen schaffen die Sicherheitslücke Nr. 1 adressieren. Livehackings und Schulungen Know-How aus erster Hand.

5 Aus der Abteilung Guten Morgen! Willkommen in der Realität (Version 2.0)

6 An was erinnert ein Firmennetz heute?

7 Willkommen im Mittelalter!

8 Stimmt dieses Bild noch?

9 Nein.

10 ios-sicherheitsmechanismen Übersicht und praktische Bedeutung

11 Willkommen bei der ios-bank Die Bank mit dem angebissenen Apfel!

12 Willkommen in unserer Bank!

13 Nach dem Anschalten... Vertraut aber grundlegend anders!

14 Der Direktor betritt die Bank: das System bootet

15 Boot-Modi Ein ios-gerät kann in drei verschiedenen Modi booten: normal Boot: Der auf dem System installierte Kernel wird gestartet, das Gerät wird für die normale Nutzung konfiguriert. recovery Mode (Löschen und Neuinstallation): Das Gerät lädt über die USB-Schnittstelle einen Kernel inkl. RAM-Disk. Der lokale Festspeicher wird nicht genutzt, es wird auf der RAM-Disk gearbeitet. In diesem Modus kann das gesamte Gerät gelöscht und neu initialisiert werden. Die Daten gehen dabei verloren. DFU Mode (Upgrade der Firmware): Das Gerät lädt über die USB-Schnittstelle einen Kernel inkl. RAM-Disk. Der lokale Festspeicher wird nicht genutzt, es wird auf der RAM-Disk gearbeitet. In diesem Modus kann das System (Firmware genannt) neu geschrieben werden. Die Daten bleiben erhalten. Besonderheit bei Apple: Jedes Systemteil und jedes Anwendungsprogramm wird vor dem Starten überprüft, ob es über über eine korrekte digitale Signatur von Apple verfügt. Schlägt die Überprüfung fehl, wird die Ausführung abgebrochen. Apple stellt so sicher, dass nur Code ausgeführt wird, der von Apple stammt bzw. der von Apple als gut befunden wurde. Eine Lücke in diesem Prozess kann es einem Angreifer erlauben, eigenen Code auf dem Gerät auszuführen. Eine Lücke am Anfang des Bootprozesses ermöglicht z.b. das Starten eines eigenen Kernels. Besonders kritisch sind Lücken im Boot-ROM und im ibss da diese im ROM des Gerätes hinterlegt sind Updates sind nicht möglich!

16 Zwei Sichtweisen? Blümchenwiese oder Gefängnis? Die Meinungen gehen auseinander. Vorteile: Sicher: Viren, Würmer und Co. haben es plötzlich sehr, sehr schwer! Nachteile: Gefahr für die freie Meinungsäußerung: Apple kann unliebsame Apps sperren. Bevormundung: Der Eigentümer des Gerätes muss sich Restriktionen beugen! Unbestritten gibt es einen Gewinner: Apple! Apple verdient an jeder verkauften Software mit Apple behält die uneingeschränkte Kontrolle über ihre Plattform Konkurrenz? Nicht im Bereich der Apps! Einige Nutzer haben sich mit dieser Situation nicht abgefunden und nach Wegen gesucht, aus dem vermeintlichen Gefängnis auszubrechen. Jailbreak! Jailbreak: Überwinden des Sicherheitsmodells von ios mit dem Ziel dem Benutzer root-rechte zu verschaffen (den Status des unbeschränkten Administrators) und so beliebige Programme ausführen, beliebige Änderungen an der Konfiguration des Gerätes durchführen und Systemsoftware beliebig verändern zu können.

17 limera1n, redsn0w und sn0wbreeze... In der Vergangenheit wurden verschiedene Fehler entdeckt, die vor dem Booten des Kernels ausgenutzt werden konnten. Damit konnten Angreifer dem Gerät einen fremden Kernel unterschieben, ohne es vorher entsperren zu müssen (vergleichbar mit dem Booten von USB-Stick oder CD-ROM bei einem herkömmlichen PC). Die folgenden beiden Bezeichnungen sind hier wichtig: limera1n: Exploit für Verwundbarkeit im Handling des USB-Protokolls im ibss bei Geräten vor ipad 2 / iphone 4S und bei allen ipod Touch redsn0w und sn0wbreeze: Benutzerfreundliches Tools auf Basis von limera1n Apple hat diese Sicherheitslücken mittlerweile durch Updates in der nächsten Generation der Geräte geschlossen. Ab iphone 4s und ipad 2 gilt aktuell: Es sind aktuell keine Sicherheitslücken bei diesen Geräten bekannt, die vor dem Booten des Kernels genutzt werden können. Der Passcode ist bei iphone 4s und ipad 2 eine sehr wirksame Sicherheitsmaßnahme, da diese Geräte erst nach der Eingabe des richtigen Passcode (also im entsperrten Zustand) attackiert werden können!

18 Absinthe & Co. Das Tool Absinthe ist ein bekanntes Tool, um einen Jailbreak durchzuführen.. Anders als redsn0w verwendet es nicht den limera1n Exploit, um auf dem Gerät einen modifizierten Kernel und eine RAM-Disk auszuführen. Absinthe kann verschiedene Schwachstellen bei ios-geräten ausnutzen, nachdem diese gebootet und entsperrt sind.

19 Die Situation im Überblick... In einem ios-gerät gibt es zwei Orte, Daten aufzubewahren: in normalen Dateien und im so genannten Keychain (Schlüsselbund) Im Keychain werden (vor allem) Passwörter gespeichert. ios bietet optional an, beliebige Dateien und Einträge im Keychain sehr sicher zu verschlüsseln. Diese Möglichkeiten werden jedoch viel zu selten von den Programmierern genutzt!

20 Keychain: Welche Daten werden verschlüsselt (ios 4)? Alle Einträge, die in der Spalte ksecattraccessible fett gedruckt sind, sind unverschlüsselt!

21 Keychain: Welche Daten werden verschlüsselt (ios 5)?

22

23

24 Sandboxes Schutz des Systems vor bösartigen Apps

25 Schalterhalle: die Benutzeroberfläche

26 Apps sind weitgehend abgeschottet Die ios-bank ist Mitarbeitern gegenüber sehr restriktiv. Jeder Mitarbeiter wird in eine eigene Box gesperrt, die er nicht verlassen kann. Jede Aktion, die das System außerhalb seiner Box betrifft, muss durch das Backoffice erledigt werden der Mitarbeiter muss das Backoffice durch ein kleines Fensterchen jeweils um die Aktion bitten. So ist sicher gestellt, dass der Mitarbeiter nicht einfach fremde Akten lesen oder löschen oder die Sicherheit der gesamten Bank gefährden kann (indem er z.b. ein Fenster öffnet oder Feuer legt.

27 Wie werden Apps eingesperrt? Über Sandboxes wird versucht, die Berechtigungen einer Applikation auf das absolut notwendige Mindestmaß einzugrenzen. Vorteil bei Sandboxes: Sandboxes vergeben die Berechtigungen individuell für jeweilige Applikation, während Betriebssysteme auf Basis des Benutzers arbeiten, der die Applikation gestartet hat. Der Zugriff auf Ressourcen kann durch eine Sandbox für jede Applikation individuell gesteuert werden (unterschiedliche Profile) Sandboxes werden bereits in vielen Produkten und Betriebssystemen eingesetzt: Adobe Acrobat Reader X, Google Chrome MS Internet Explorer, SELinux, AppAmor (Linux),... Eine Sandbox soll den Schaden begrenzen, der durch das Ausnutzen von Fehlern in Applikationen oder durch bösartige Applikationen selbst entstehen kann - eine Sandbox macht nicht die Applikation sicherer, sondern begrenzt nur den Schaden im Falle eines Falles. Verstöße gegen die Regeln einer Sandbox können geloggt und die entsprechenden Applikationen bei Bedarf auch terminiert werden. Die Sandbox von ios basiert auf der Sandbox von Mac OS X. Es existieren mehr als 30 Sandbox-Profile unter ios: Die Hintergrundprozesses (daemons) des ios wie z.b. accessoryd, apsd, dataaccessd, iapd, mdnsresponder, etc.verfügen über abgestimmte Profile. Die eingebauten Apps wie z.b. Mobil , MobileSafari, MobileSMS, Stocks, YouTube, etc. verfügen über eigene Container. Jede App wird in einer Sandbox ausgeführt. Das Profil ist für alle Apps identisch und nennt sich container. Problem: Ein Profil für alle Apps bedeutet, dass das Profil entsprechend entspannt sein muss...

28 Jede App hat ihren ganz persönlichen Rollcontainer Bei herkömmlichen Systemen können Programme prinzipiell Dateien überall im Dateisystem lesen und schreiben. Die einzige Voraussetzung ist, dass der Benutzer, der das Programm gestartet hat, die entsprechenden Rechte im Dateisystem besitzt. Dieses Konzept sorgt für enormes Kopfzerbrechen: Fehler in den Berechtigungen gefährden die Systemsicherheit Programmierer verstreuen nicht selten die Dateien ihrer Anwendungen über das gesamte System Applikationen können an den merkwürdigsten Orten installiert werden (denken Sie z.b. an den Installationspfad C:\ bei älteren Windows-Programmen) Installationsroutinen (die unter Systemprivilegien ausgeführt werden) können Teile des Systems wie z.b. Bibliotheken etc. überschreiben und damit das gesamte System gefährden. Apps unterliegen hier in ios strengen Restriktionen. Das Konzept ist hier gut vergleichbar mit persönlichen Rollkontainern für jeden Mitarbeiter der Bank - der Mitarbeiter darf hier (und nur hier) seine Unterlagen verwahren. Die Rollcontainer in unserem Bild haben zwei verschiedene Farben (hell- und dunkelbraun). Diese Farben symbolisierenein ganz spezielles Feature von ios: Unterlagen, die (vom Backoffice) in die Rollcontainer der einen Farbe abgelegt werden (suchen Sie sich eine aus), verbleiben im Klartext. Unterlagen, die (vom Backoffice) in den Rollcontainer der anderen Farbe abgelegt werden, werden (vom Backoffice) automatisch ver- und beim Herausnehmen wieder entschlüsselt.

29 Sandbox: Eingeschränkter Zugriff auf den Speicher Jede App besitzt ihren eigenen Bereich im Dateisystem des Gerätes (unterhalb von /private/var/mobile/applications/) und kann ausschließlich hier Dateien über Systemaufrufe anlegen, lesen, schreiben, umbenennen oder löschen. Die Folgen sind sehr weitgehend, unter anderem: Eine App kann keine Daten einer anderen App einsehen oder löschen, indem sie deren Dateien liest. Sie muss andere Mechanismen nutzen, um an Daten zu gelangen (der Mitarbeiter in der Box muss das Backoffice bitten). Eine App kann eine andere App weder modifizieren noch löschen Schadsoftware kann sich auf diesem Weg nicht mehr verbreiten. System-Tuning etc. etc. etc. kann ausschließlich über die Schnittstellen vorgenommen werden, die Apple den Programmierern von Apps zur Verfügung stellt! Es gibt keine Anti-Viren-Programme (diese könnten nur sich selbst scannen)....

30 Was erlaubt die Sandbox den Apps? Generell ist jeder Zugriff auf Systemressourcen verboten. Erlaubt ist: Lesender und schreibender Zugriff auf alle Dateien im Container der App. Lesender Zugriff auf Fotosammlung und auf die itunes Bibliothek. Lesender und schreibender Zugriff auf das Adressbuch. Lesender Zugriff auf verschiedene Einstellungen. Nutzen spezieller Funktionen des I/O Kit Frameworks (Zugriff auf spezielle Clients). Nutzung der RPC-Dienste des Mach-Kernels (immerhin mehr als 140 Stück). Öffnen von Netzwerkverbindungen (inbound und outbound)...

31 Was kann also passieren, wenn eine App Amok läuft? Aufgrund der Sandbox hat eine Applikation nur begrenzte Möglichkeiten, Schaden im System anzurichten. Die Sandbox erlaubt den Zugriff auf eine Reihe von kritischen Daten: Such-Historie des Safari Browsers (nur bis ios 3.x) YouTube-History (nur bis ios 3.x) Telefonnummer (wie in itunes eingetragen) Kontakte und Kalender (auch schreibend!) Fotos (bis ios 3.x inkl. Geolokationsdaten) Einstellungen des/der Mailkonten (bis auf das Passwort) Telefondaten und Anruf-Historie aktuelle Lokationsdaten Städte, deren Wetter angezeigt wird WiFi-Cache (wann zuletzt in welches WiFi-Netz eingebucht) Cache der Tastatur (enthält alle Eingaben, die über die Tastatur gemacht wurden bis auf Passwort-Felder) Apps dürfen sowohl auf die RPC-Dienste des ios-kernels (aktuell mehr als 140 z.t. sehr komplexe Schnittstellen) als auch auf das I/O Kit (objektorientiertes Framework für Treiber) zugreifen. In der Vergangenheit wurden Fehler in I/O-Kit Clients bereits ausgenutzt, um einen Kernel-Exploit zu platzieren und dadurch aus der Sandbox auszubrechen: JailbreakMe 2.0 (Nutze eine Schwäche im I/O-Kit Client IOSurface) für ios bis auf verschiedenen Geräten Platzieren des Exploits via mobilesafari JailbreakMe 3.0 (Nutze eine Schwäche im I/O-Kit Client IOMobileFramebuffer) für ios bis auf verschiedenen Geräten Platzieren des Exploits via PDF-Dokument

32 Schwachstelle Zugriff auf Adressbuch (I) Heise News vom ( In der Vergangenheit haben verschiedene Apps ihre Zugriffsrechte ausgenutzt, um das Adressbuch des Benutzers zu stehlen und an die Programmierer der Apps zu senden. All das geschieht natürlich nur zum Besten des Benutzers. :-) Update: Apple hat angekündigt, beim Zugriff auf das Adressbuch künftig den Benutzer fragen zu wollen.

33 Schwachstelle Zugriff auf Adressbuch (II) Heise News vom ( In der Vergangenheit haben verschiedene Apps ihre Zugriffsrechte ausgenutzt, um das Adressbuch des Benutzers zu stehlen und an die Programmierer der Apps zu senden. All das geschieht natürlich nur zum Besten des Benutzers. :-) Update: Mit ios 6 sind neue Sicherheitsmechanismen verfügbar, die das Auslesen des Adressbuchs ohne Rückfrage beim Benutzer verhindern.

34 Eine kurze Analyse Was bedeutet heute angemessen abgesichert?

35 Wo sind die wichtigsten Daten gespeichert?...natürlich auf den Servern!...auf den Backup-Medien (Bänder, DVD's)....vielleicht auf der einen oder anderen Workstation?...uuups, auch auf den Laptops!...Smartphones bitte nicht vergessen!...und dann noch... äääähm... (Haben wir wirklich nichts vergessen???)

36 Smartphones: super kritisch aber oft vergessen Smartphones arbeiten ohne schützende Firmen-Firewall. Sie werden viel transportiert, sind sehr mobil und können ziemlich einfach geklaut oder zerstört werden... Sie kommunizieren mit fremden Netzwerken über unsichere Verfahren. Die Benutzer haben Administrator-Rechte. Smartphones verarbeiten und speichern kritische Daten. Werden im Sicherheitskonzept oft vergessen. Sicherheitskonzept? Welches Sicherheitskonzept?

37

38

39

40

41

42

43 Informationssicherheit......ist mehr als die Installation einer Firewall....betrifft alle Teile eines Unternehmens...kann nicht auf den Schultern einiger weniger Personen (den Administratoren bzw. den Sicherheitsbeauftragten) abgeladen werden....ist kein Produkt, sondern ein Prozess.

44 Keine Informationssicherheit ohne Analyse! Die Menge der Bedrohungen und die Individualität der Informationsverarbeitung erfordern, Gefahren und Maßnahmen sauber zu analysieren und zu planen: Was wird wirklich benötigt?... saubere Konfiguration der Lösungen! Eine Selbstverständlichkeit, die wir heute leider nicht so häufig sehen, wie wir gerne würden.... Dokumentation! Wer sicherheitsrelevante Infrastrukturen ohne Doku betreibt, handelt grob fahrlässig. Jede relevante Konfiguration muss dokumentiert sein: Was? Wann? Wer? Warum?

45 So kontaktieren Sie uns Antago: Replacing Luck.

46 Unsere Kontaktdaten wir freuen uns auf Sie! Sie haben Fragen? Sie benötigen weitere Informationen oder ein unverbindliches Angebot? Wir freuen uns auf Sie! Antago GmbH Robert Bosch Str. 7 D Darmstadt Internet: Phone: Fax: sicherheit[at]antago.info

47 Vielen Dank für Ihre Aufmerksamkeit. Bei Fragen stehen wir gerne zur Verfügung. Bis demnächst auf Ihrem Server.