Tobias Elsner IT-Security-Resulter Wie sicher sind aktuelle Plattformen von Mobilgeräten www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 1
Themen Übersicht über typische Bedrohungen für Mobilgeräte Sicherheit der Daten auf den Mobilgeräten Sicherheit der Übertragungswege Mögliche Lösungswege www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 2
Was ist das Besondere an mobilen Geräten? Bei mobilen Geräten handelt es sich häufig um Consumer-Geräte Sie können leicht entwendet werden Sie werden in unsicheren Netzwerken (WLAN!) verwendet Der Anwender kann beliebig Programme installieren Sie können soviel wie ein herkömmlicher Rechner Der Einfluss der IT-Verwaltung und Benutzer auf die Plattform (OS, Programme) ist sehr klein Sicherheitstechnologie ist kaum vorhanden www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 3
Was sind typische Bedrohungen? Gefährdung der Datensicherheit, also der Verfügbarkeit, Vertraulichkeit und Integrität von Daten durch: Hardwaredefekt der Geräte Bewusste Manipulation (Rooten/Jailbreak) Diebstahl bzw. Verlust des Gerätes Unsichere Programme bzw. Apps Gezielte Angriffe www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 4
Sicherheit von Applikationen bzw. Apps Viele Apps übermitteln vertrauliche Daten Unzureichende Prüfung durch Store-Betreiber Pseudo-Sicherheit durch Store-Bindung App-Anbieter sind häufig sorglos Schadsoftware, u. a. in den Stores: CaaS Crime as a Service Remote Forensic Tools www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 5
Gezielte Angriffe: Angriffswege Mobile Geräte sind angreifbar via Direktzugriff und Manipulation Extrahieren der Daten Installation von Schadsoftware Manipulation der Hardware Zugriff auf die Kommunikationswege GSM WLAN Bluetooth/NFC Kommunikationspartner Shoulder Surfing www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 6
Gezielte Angriffe: Was ist möglich? Diebstahl von auf dem Gerät liegenden Daten besonders gefährlich: Zugangsdaten Verfolgen der Position (Tracking) Abhören von Telefongesprächen/SMS Übernahme der Identität des Besitzers Kostenverursachung durch Anrufe/SMS Nutzung des Telefons als Wanze (Mikrofon, Kamera) Nutzung als Relay-Station für Angriffe Übernahme von angeschlossenen PCs Störung der Geräte Diebstahl von Zugangsdaten zu Organisationen, z. B. VPN, E-Mail oder WLAN www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 7
Sicherheit der Daten auf den Mobilgeräten Authentisierung Sperrbildschirm: Häufig nur eine Applikation, verhindert nicht den physikalischen Zugriff Passwort- bzw. PIN-Authentisierung Musterauthentisierung Mehrfaktorauthentisierung mit Token bzw. Smartcard Biometrische Verfahren www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 8
Sicherheit der Daten auf den Mobilgeräten Mögliche Angriffe auf die Datenverschlüsselung Ausspähen/Erraten der Passphrase, mit der die Schlüssel geschützt sind (z. B. Smartphone-PIN) Auslesen des Schlüssels aus dem Speicher Abgreifen der Daten vor dem Verschlüsseln Ausnutzen von Fehlern in der Implementierung Ausnutzen von Fehlern im Kryptoalgorithmus www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 9
Sicherheit der Daten auf den Mobilgeräten Sicherheit ist nur gewährleistet, wenn kein Direktzugriff auf das Gerät möglich ist keine Apps installiert werden leider unrealistisch mindestens sollte man aber eine sichere Authentisierung wählen, z. B. eine Passphrase > 8 Zeichen nicht jede App installieren www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 10
Sicherheit der Daten auf den Mobilgeräten Alternative Aufbewahrung der Daten SD-Cards/USB-Speicher Kein Remote-Wipe möglich Verschlüsselung häufig nicht möglich Speicherung der Daten auf Servern ( Private Cloud ) Unter anderem Terminal Services Häufig eine gute Idee! Speicherung der Daten in der Public Cloud Compliance? BDSG Firmen-Know-How im Ausland? PRISM, Tempora www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 11
Sicherheit der Daten auf den Mobilgeräten Fazit Ihre Daten sind auf Mobilgeräten nicht sicher www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 12
Sicherheit der Übertragungswege Bluetooth Verschlüsselung teilweise unsicher (zu kurze PIN) Teilweise (alte) Fehler in der Implementierung Angriffe mittels AT-Befehlen Opfer zu Neuaufbau der Verbindung zwingen Gegenmaßnahmen Bluetooth, wenn möglich, abschalten 16-Zeichen für PIN Vorsicht bei Neuanforderung der PIN-Eingabe! www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 13
Sicherheit der Übertragungswege NFC Near Field Communication In Smartcards und Mobilgeräten Unter anderem für Micropayments Verschlüsselung Aufgabe der Applikation Berührungslos konzeptionell nicht sicher Man in the Middle per Relay möglich Ausspähen von Daten möglich Gegenmaßnahmen Deaktivieren von NFC Bei Smartcards Schutzhülle verwenden www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 14
Sicherheit der Übertragungswege WLAN/WiFi Diverse Angriffsszenarien gegen WEP/WPA/WPA2 WLAN-Clients senden Probe-Requests Öffentliche WLANs ermöglichen Man in the Corner Gegenmaßnahmen: Keine öffentliche WLAN-Netze verwenden Auch nicht sichere WPA2-Netze Für WLAN-Betreiber gilt: WPA2-EAP einsetzen Ansonsten: Vorsicht bei Zertifikatswarnungen Verbindungen durch VPN schützen www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 15
Sicherheit der Übertragungswege GSM Entwickelt Ende der 80er-Jahre 900MHz-Bereich D1- und D2-Netz 1800MHz-Bereich E-Netz Authentisierung des Anwenders per SIM-Karte PIN häufig aus Gerät auslesbar, ausspähbar Keine Authentifizierung der Basisstation gefälschte Basisstation möglich Verschlüsselung der übermittelten Pakete meistens per A5/1-Algorithmus (Telekom seit 2014 A5/3) A5/1 ist schon seit den 90er-Jahren gebrochen www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 16
Sicherheit der Übertragungswege GPRS/EDGE Paketbasierte Datenübertragung per GSM ( 2G ) für Internetzugriff und MMS Die Sicherheitseigenschaften sind dieselben wie bei GSM www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 17
Sicherheit der Übertragungswege UMTS/HSPA Schnellere Datenübertragung ( 3G ) Verschlüsselung A5/3 (Kasumi) Angriff möglich ( Sandwich -Angriff) Problem: Degradierung auf GPRS/EDGE/GSM möglich Die Sicherheitseigenschaften sind daher effektiv dieselben wie bei GSM www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 18
Sicherheit der Übertragungswege LTE Noch schnellere Datenübertragung ( 4G ) Gilt aktuell als abhörsicher DoS per Störsender einfacher als bei UMTS Die Sicherheitseigenschaften sind besser als bei GSM, aber die Verbreitung ist gering www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 19
Sicherheit der Übertragungswege Welche Angriffe sind möglich? Passives Abhören einer Datenübertragung Aufstellen einer eigenen Basisstation IMSI-Catcher Lokalisieren des Anwenders Abhören und Modifizieren der Datenübertragung Blockieren von Verbindungen Session Hijacking Übernahme der Identität Denial-of-Service auf Basistationen Fehler im GSM-Konzept Telefon belegt alle Kanäle einer Basisstation Einspielen von Schadsoftware auf der SIM-Karte www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 20
Sicherheit der Übertragungswege Fazit Kommunikation mit Mobilgeräten ist nicht sicher www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 21
Mobile Device Security Wie können Sie sich trotzdem schützen Provokativ: keine Telefone benutzen Möglichst sichere Plattformen benutzen wenig Apps installieren sichere Apps verwenden sichere Passphrase Nutzen von Kryptotelefonen teilweise Snake Oil (reine Applösungen) SiMKo3, Secusmart, GSMK In großen Organisationen: MDM bzw. MAM einsetzen www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 22
Mobile Device Security Grundlage ist immer ein ganzheitliches Sicherheitskonzept: Physische Sicherheit Gebäude- und Zugangsschutz Informations- Sicherheit State-of-the-Art Security Produkte & Technologien Organisatorische Sicherheit Security Policies, Prozesse, Mitarbeiter+Management Awareness www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 23
Mobile Device Security Trennung privat/dienstlich Samsung Knox Blackberry 10 Kryptotelefone Mobile Application Management-Lösungen www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 24
BYOD und PUOCE Mobile Application Management (MAM) Apps für speziellen Einsatzzweck in der Regel: E-Mail, Kontakte, Kalender Bekanntestes Beispiel: Good for Enterprise Container mit eigener Verschlüsselung Verbindung durch Zwangs-VPN große Unterschiede zwischen den Produkten, insbesondere was die Sicherheit angeht nur so sicher wie die Plattform daher nur ergänzend zu MDM einsetzbar Alternative: Terminalservices (Citrix Receiver) www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 25
Mobile Device Security Mobile Device Management (MDM) Inventarisierung der Geräte Zentrale Konfigurierbarkeit Komfort und Sicherheit Zentrale Softwareverwaltung Zentrale Datenverwaltung Backup/Restore, Wipe Firmeneigener App-Store! Ausblenden der Hersteller-Stores Nur die wichtigsten Anwendungen (E-Mail, Messenger, soziale Netzwerke, Foto), kein WhatApp, XING & Co.! Spezielle Apps wie HootSuite Terminallösungen wie Citrix Receiver Was möglich ist, hängt von der Mobilplattform ab! www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 26
Zusammenfassung Ganzheitlicher Ansatz der IT-Sicherheit Einsatz mobiler Geräte vermeiden Daten nicht auf Geräten speichern Daten verschlüsseln Übertragungswege verschlüsseln Auf aktuelle Softwarestände achten Geräte so oft wie möglich ausschalten Unbenutzte Schnittstellen abschalten Mobile Device Management einsetzen Sicherheitsbewusstsein der Anwender verbessern www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 27
Ihre Fragen bitte tobias.elsner@add-yet.de Vielen Dank für Ihre Teilnahme www.add-yet.de GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655 0 28