FH-Prof. DI Robert Kolmhofer
Mobilität und Security? Neuen Kommunikationstechnologien verändern die Arbeitswelt (und Privatwelt) Breitband Internet (ADSL, xdsl, K-TV, FTTH) Mobile Breitbandkommunikation (UMTS, HSDPA, HSUPA, LTE), WLAN Voice over IP-Telefonie, Internettelefonie Push-Mail-Services, Synchronisation von PDAs, Mobiltelefone, Anwendungen im Internet, Social-Networks, Web2.0, Smartphones, Tablet & Co Moderne Arbeitswelt = veränderte IKT-Anforderungen Sicherheitsmaßnahmen Policies, Regel, Schutz, ISMS Aber: Das Böse ist immer und überall * - also braucht es Lösungen! (und Ideen) *) EAV: Banküberfall
Mobilität und Security? Etablierte und anerkannte Lösungen existieren um IKT- Sicherheit für mobile Arbeitslandschaft zu erhöhen VPN Technologie (die Kryptographie ist unser Freund ) Single Sign-On Lösungen, Token Authentifizierung, Biometrie Firewalls Virenscanner, Spam Filter Harddiskverschüsselung Trusted Platform Computing (oder was davon übrig ist) 802.1X / NAC Security Policies, User-Guidelines Was ist mit mobilen Endgeräten wie Smartphones & Tablet?
Mobiltelefone und Smartphones Funktionen moderner Mobiltelefone Terminkalender Kontakte Notizen Push-Mail Mail-Synchronisation MP3 Player Fotoapparat Word/Excel Betrachter/Editor, PDF Viewer Web-Browser RSS-News-Reader Spiele Infrarot Bluetooth WLAN SMS und MMS Telefonieren (auch mit VoIP) Kann das Ihr PC auch alles? Dürfen das ihr PC(Anwender) auch alles?
Alte und neue Gefahren! Bei Handydiebstahl und/oder -verlust - praktisch ident zu Verlust der Handtasche mit Kreditkarten, Anfallende Kosten (Gebühren, Gerät, Kreditkarte) Ansehen in der Öffentlichkeit (Fotos, SMS, E-Mail-Inhalte) Passwortverlust (Domain-Passwort, andere Passwörter) Attacken auf personenbezogene Daten (Web2.0, ebay, ) Schadsoftware durch Apps Ausspionieren der Geräteinhalte über Bluetooth, WLAN, Inhalte von Speicher und Speicherkarten (>32GB)!
Nur ein (!) Beispiel! Bluetooth (= Funk!) kann Verschlüsselung, PIN für Pairing, - ist per se eine sichere Technologie!? welches Headset und welche Autofreisprecheinrichtung nutzt diese? Protokollstack in Bluetooth bei vielen Herstellern attackierbar Bluetooth ähnlich attackierbar wie WLAN Bluetooth mit einfachen Werkzeugen bis über 1km abhör/angreifbar! Was ist angreifbar: Internetzugang, Mail/Kontakt/Termin-Sync, Sprachtelefonie, SMS/MMS Speicher, Bildspeicher (Britney Spears Attack) Tools im Internet verfügbar (bes. für spezielle Tablets, N770/800/ ) zb ":BT INFO: (ppt_bt)" oder Blooover und: WLAN gibt s auch noch!!! (Android 2.x angreifbar bei aktivem WLAN) Quelle: http://trifinite.org/downloads/trifinite.presentation_websec2006.pdf
Und eins hab ich noch: Apps Was ist mit Apps(likationssicherheit)? Smartphones erlauben praktisch unbegrenztes Anwendungsportfolio Installation von Software kaum einschränkbar (durch Jailbraking auch Sperren umgehbar) Patches oft automatisch installiert (für Apps) Kostenfalle! Updates kompliziert zu Installieren (meist USB-Kabelverbindung) Flottenmanagement ein Problem, Verlust von Einstellungen, Apps, Virenscanner? Offensichtliche Sicherheitsprobleme! Schätzungen gehen von 10% bösartigen Apps aus! Oftmalige Lösung: Verbot von Apps, Modifikation der Einstellungen, Nutzung des Privatgebrauchs!
Was soll man tun? Auf Unternehmensebene 3 Ebenen beachten Planung des Einsatzes und Auswahl von Smartphones Konfiguration Betrieb (Kosten)
Planung und Auswahl Rahmenbedigungen über Einsatz klar definieren Sicherheitsstrategie Integration von Smartphones in das Sicherheitskonzept des Unternehmens und die vorhandene IT-Infrastruktur Admin- und Sicherheitsrichtlinien implementierbar? Zentrale Administration der Geräte? Updateverwaltung, Sicherung der Daten Nutzungsregelungen Privathandy im Unternehmensnetzwerk Privatgebrauch des Diensthandys Schulungen für den Umgang mit Smartphones
Planung und Auswahl Sicherheitsfeatures Technische Applikationssicherheit klären Apps verbieten -> Umgehung vorprogrammiert Kommunikationsschnittstellen absichern Verschlüsselung GPS-Einsatz Praktisch zum Navigieren, f. Google-Maps, Finden von Handys Kritisch hinsichtlich Datenschutz, Personenüberwachung Organisatorisch Wildwuchs der Smartphone-Typen/Modelle vermeiden (GF!) Know-How und Support für Geräteauswahl optimieren Rasche Generationswechsel wenn möglich vermeiden
Konfiguration Vor Ausrollen/Echtbetrieb Härtung der Smartphones Entfernung unnötiger Software Deaktivierung nicht benötigter Schnittstellen Schutzsoftware (Virenscanner) installieren (Datenroaming deaktivieren) Zentrales Management konfigurieren App-Verwaltung, Auffinden, Löschen von Inhalten, Sperre Passwort/PIN-Code Einsatz aktivieren Rechteverwaltung (so vorhanden) aktivieren Private Smartphones beachten Bei Verwendung in Firma: Virenscanner installieren,
Betrieb Applikationssicherheit Nur freigegebene Apps installieren Ev. eigenen App-Store mit geprüften Anwendungen Wenig restriktive Nutzungsregelungen Verhindert das Umgehen von Sperren (das passiert nämlich sowieso) Betriebsüberwachung Erkennen von Jailbrakes, Viren, Sicherung der Daten auf Smartphones und Speicherkarten! Awareness der Benutzer steigern Private Apps greifen zb auf Firmen-E-Mails/Adressbuch zu (schicken die zb an einen Spielserver, ) Verständnis für damit entstehende Probleme schaffen
Außerbetriebnahme Geregeltes Sichern der Benutzerdaten Fotos, Filme, bezahlte Apps, Kontakte Auf diverse Accounts nicht vergessen (zb Google-Konto bei Android) Löschen des Smartphones Factory Reset alleine genügt meist nicht Spezielle Tastenkombinationen für Hard-Reset Speicherkarten in den Smartphones Reines Formatieren bringt rein gar nix Austauschen und Vernichten der alten Karte
Einfache Präventionsmaßnahmen Schutzmechanismen am Handy aktivieren PIN-Abfrage der SIM Karte aktiviert lassen Zugriffscode (meist 4-stelliger Code oder Wischmuster) aktivieren Automatische Bildschirmsperre aktivieren (30 s Wartezeit) Andere Präventionsmaßnahmen Keine Passwörter fix am Gerät hinterlegen Nicht möglich bei Mail-Clients, Android Market, Google-Services Keine unnötigen Apps am Gerät installieren Gerät nicht verborgen (auch nicht an die eigenen Kinder zum Spielen)
Was tun? Wenn was passiert 1. Gerät suchen, sperren bzw. Löschen Suche des Geräts (me.com, droidsecurity.com, ) Sperren des Geräts Löschen des Geräts 2. Passwörter ändern E-Mail Passwörter, ebay, Google, 3. SIM-Karte Deaktivieren Provider Hot Line anrufen, Sperre veranlassen 4. Beten
Suchen/Sperren/Löschen des Geräts Apple iphone Smartphones anderer Hersteller Beispiel: mobile.me Seite 16
Suchen/Sperren/Löschen des Geräts Android Handys zb AVG Antivirus / Droidsecurity Beispiel: www.droidsecurity.com Seite 17
Löschen/Sperren des Geräts Beispiel: Exchange OWA Optionen Seite 18
Weiterführende Informationen Bundesamt für Sicherheit in der Informationstechnik - BSI Überblickspapier Smartphones https://www.bsi.bund.de/contentbsi/presse/pressemitteilungen/presse2011/ Ueberblickspapiere.html IT-Grundschutz-Kataloge Bausteine B 3.404 Mobiltelefon und B3.405 PDA https:// www.bsi.bund.de/grundschutz/kataloge Mobile Endgeräte und mobile Applikationen: Sicherheitsgefährdungen und Schutzmaßnahmen, BSI- Broschüre https://www.bsi.bund.de/contentbsi/publikationen/broschueren/mobile/index _htm.html Seite 19
Danke für Ihre Aufmerksamkeit! FH-Prof. DI Robert Kolmhofer robert.kolmhofer@fh-hagenberg.at Seite 20