Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Android smartphones und sicherheit

931 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
  • Hier ein Artikel zum Thema: Mobiles Arbeiten: Sicherheit, Produktivität und Mobilität

    http://clicksafe.kensington.com/de/laptop-sicherheit-blog/bid/78940/Mobiles-Arbeiten-Sicherheit-Produktivit%C3%A4t-und-Mobilit%C3%A4t
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier

Android smartphones und sicherheit

  1. 1. Hacking Day 2012 – Future Security Android Smartphones und Sicherheit Tobias Ellenberger - COO & Co-Partner - OneConsult GmbH© 2012 OneConsult GmbH 14. Juni 2012www.oneconsult.com
  2. 2. Agenda Agenda → Vorstellung → Android OS → Sicherheitsanalyse → Security Suites für Android → Fazit© 2012 OneConsult GmbH 2www.oneconsult.com
  3. 3. Vorstellung Über mich → Tobias Ellenberger → Ausbildung als Mediamatiker → Stetige Weiterbildung in den Bereichen Security, Netzwerk, Microsoft → Seit 2002 in den Bereichen Consulting und Engineering tätig → COO & Co-Partner der OneConsult GmbH© 2012 OneConsult GmbH 3www.oneconsult.com
  4. 4. Vorstellung OneConsult GmbH → IT Security Consulting & strategische Beratung → Kein Verkauf von Hard- und Software → Kunden ◦ Hunderte Unternehmen und Konzerne in Europa und Übersee ◦ tätig in allen Branchen → Kompetenz ◦ mehr als 500 technische Security Audits (davon 450 OSSTMM konform) ◦ Dutzende konzeptionelle Projekte → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Deutschland: Büro in München ◦ Österreich: Büro in Wien© 2012 OneConsult GmbH 4www.oneconsult.com
  5. 5. Vorstellung Unsere Dienstleistungen → Security Audits → Incident Response ◦ Security Scan ◦ Emergency Response ◦ Penetration Test ◦ Computer Forensics ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering → Training & Coaching ◦ Conceptual Security Audit ◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning → Consulting ◦ Secure Software Development ◦ Strategy & Organisation ◦ Coaching ◦ Policies & Guidelines ◦ Processes & Documentation → Security as a Service ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management© 2012 OneConsult GmbH 5www.oneconsult.com
  6. 6. Agenda Agenda → Vorstellung →Android OS → Sicherheitsanalyse → Security Suites für Android → Fazit© 2012 OneConsult GmbH 6www.oneconsult.com
  7. 7. Android OS Was ist das Android OS? → Betriebssystem für mobile Endgeräte → Entwickelt von Google und Open Handset Alliance → Basierend auf Linux Kernel → Anwendungen werden mittels Java entwickelt → Anwendungen laufen in einer virtuellen Instanz → Bestehende Funktionen durch Applikationen erweitern → Grundlegende Sicherheitsfunktionen ◦ ...dazu später © 2012 OneConsult GmbH 7www.oneconsult.com
  8. 8. Android OS Android OS: Architektur Architekturdarstellung von Google© 2012 OneConsult GmbH 8www.oneconsult.com
  9. 9. Android OS Android OS: Technischer Stand → Was wurde aus der „PC-OS-Vergangenheit“ gelernt? ◦ Sandboxing ◦ Least Privileges (Berechtigungskonzepte) ◦ Unterschiedliche Ansätze zwischen Android OS, iOS und Windows Phone › Open Source vs. Closed Source › Google Play, App Store etc. › Updatekonzepte Fazit: Die Security-Grundlagen und Erfahrungen sind in die Entwicklung mit eingeflossen… … unter Berücksichtigung der eigenen Interessen© 2012 OneConsult GmbH 9www.oneconsult.com
  10. 10. Agenda Agenda → Vorstellung → Android OS →Sicherheitsanalyse → Security Suites für Android → Fazit© 2012 OneConsult GmbH 10www.oneconsult.com
  11. 11. Sicherheitsanalyse Sicherheitsanalyse: Sicherheitsfunktionen... → Kernel → Sandboxing → Rechteverwaltung → Bildschirmsperre → Google Play – ex Android Market (Gtalk Service) → Faktor Mensch© 2012 OneConsult GmbH 11www.oneconsult.com
  12. 12. Sicherheitsanalyse Sicherheitsanalyse: Kernel → Linux Kernel ja / nein? → Gut gepflegte Software (Analyse von Coverty) → Daraus folgt: Linux ist eine gute Basis für das Entwickeln eines sicheren Produktes → Jon Oberheide: «Schweizer Käse» ◦ Linux bietet eine hervorragende Angriffsfläche ◦ Praxis: z.B. Rooting© 2012 OneConsult GmbH 12www.oneconsult.com
  13. 13. Sicherheitsanalyse Sicherheitsanalyse: Sandboxing → Prinzip: Applikation hat keinen Zugriff auf eine andere Anwendung oder auf das System → Bekannt von Linux und Windows (UAC) → Aber: ◦ Dateisystem › Ab Android 2.3 Ext4 (vorher YAFFS) › Auf SD-Karten FAT ◦ Shared User ID’s → Kleines Beispiel… ◦ Fun-Foto App (Zugriff Bilder) ◦ Game (Zugriff Internet für High-Score)© 2012 OneConsult GmbH 13www.oneconsult.com
  14. 14. Sicherheitsanalyse Sicherheitsanalyse: Rechteverwaltung → Erlaubt Kommunikation zwischen Anwendungen → Aufweichen des Sicherheitsmechanismus → Vier Schutzstufen ◦ «normal» ◦ «dangerous» ◦ «signature» ◦ «signatureOrSystem» → Schwächen der Rechteverwaltung ◦ Es gibt nur JA oder NEIN ◦ Sehr global gefasste Berechtigungen › android.permission.INTERNET › android.permission.WRITE_EXTERNAL_STORAGE© 2012 OneConsult GmbH 14www.oneconsult.com
  15. 15. Sicherheitsanalyse Sicherheitsanalyse: Bildschirmsperre → Passwort sinnvoll für den Schutz des Smartphones → Folgende Möglichkeiten:© 2012 OneConsult GmbH 15www.oneconsult.com
  16. 16. Sicherheitsanalyse Sicherheitsanalyse: Google Play → Applikationen erweitern die Funktionen des Smartphones → Benutzerbasierte Kontrolle des Inhalts → Bouncer (Malwarekontrolle – seit 2011) ◦ Summercon Juni 2012 → Jeder kann für $25 Applikationen veröffentlichen (auch anonym) → Apps müssen signiert werden; selbst signiertes Zertifikat für den Benutzer-Account → Seit Februar 2011: Installation von Apps via Browser möglich© 2012 OneConsult GmbH 16www.oneconsult.com
  17. 17. Sicherheitsanalyse …und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Beispiel: 23.01.2012 (http://www.heise.de/security/meldung/Linux- Root-Rechte-durch-Speicherzugriff-1419608.html) ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App)© 2012 OneConsult GmbH 17www.oneconsult.com
  18. 18. Sicherheitsanalyse Android Hax (Funktion) Root Exploit http://jon.oberheide.org/rootstrap/index© 2012 OneConsult GmbH 18www.oneconsult.com
  19. 19. Sicherheitsanalyse Android Hax (Verbreitung) → Über 200 Downloads in weniger als 24h → Reaktion: Remote Wipe© 2012 OneConsult GmbH 19www.oneconsult.com
  20. 20. Sicherheitsanalyse …und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Aktuelles Beispiel: 23.01.2012 ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App) → Sandboxing ◦ Cross Application Scripting ◦ Shared User-ID → Rechteverwaltung ◦ Eigene Berechtigungen…© 2012 OneConsult GmbH 20www.oneconsult.com
  21. 21. ...und wie sie ausgenutzt werden Rechteverwaltung (Beispiel) (1) Password-Safe (2) Google Play (3)Password-Gen - Kein Internet - Top Rating - Internet Zugriff - pw.exchange - X Downloads - pw.exchange© 2012 OneConsult GmbH 21www.oneconsult.com
  22. 22. Sicherheitsanalyse …und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Beispiel: 23.01.2012 ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App) → Sandboxing ◦ Cross Application Scripting → Rechteverwaltung ◦ Eigene Berechtigungen… ◦ «exported attribute» → Google Play (Gtalk Service)© 2012 OneConsult GmbH 22www.oneconsult.com
  23. 23. Sicherheitsanalyse Google Play© 2012 OneConsult GmbH 23www.oneconsult.com
  24. 24. Sicherheitsanalyse Google Play (Gtalk Service) → Apps werden nicht über die Google Play App installiert → Die App wird mittels C2DM-Server gepusht → Google hat mindestens folgende Funktionen zur Verfügung: ◦ INSTALL_ASSET (App installieren) ◦ REMOVE_ASSET (App entfernen) › Twilight Eclipse App › DroidDream-Trojaner → Was wenn jemand die Google Server «übernimmt» ?!?© 2012 OneConsult GmbH 24www.oneconsult.com
  25. 25. Sicherheitsanalyse Sicherheitsanalyse: Faktor Mensch → «JA Klick» - Syndrom → «Ich will» - Syndrom → «KLDAZL» - Syndrom → «DGMNA» - Syndrom© 2012 OneConsult GmbH 25www.oneconsult.com
  26. 26. Agenda Agenda → Über OneConsult GmbH & me → Android OS → Sicherheitsanalyse →Security Suites für Android → Fazit© 2012 OneConsult GmbH 26www.oneconsult.com
  27. 27. Security Suites Security Suites → Hersteller ◦ Neue Hersteller z.B. Lookout spezialisiert auf Mobile Security ◦ Die meisten namhaften Hersteller von AV-Software für PC’s → Nutzen ◦ Schutz vor Malware, Phishing, Datenverlust und Diebstahl ◦ Erweiterte / zusätzliche Funktionen für das Smartphone → Funktionen ◦ Malware Scanner ◦ Backup & Locator Dienste ◦ Datenschutz ◦ Div. Sperr und Filterfunktionen© 2012 OneConsult GmbH 27www.oneconsult.com
  28. 28. Security Suites Security Suites → Gegen was helfen Security Suites wirklich? ◦ Ergänzung der Schutzfunktionen vom Smartphone ◦ Erkennen von bestehenden / bekannten Gefahren → Was Security Suites nicht können ◦ Neue Angriffe erkennen ◦ «Intelligente» Angriffe verhindern ◦ Menschliches Verhalten ändern ◦ Entwickler sensibilisieren (Vergabe von Rechten) → Fazit: ◦ Sinnvolle Ergänzung zum Betriebssystem ◦ Falsches Sicherheitsgefühl ◦ Die bekannten AV-Hersteller sind bei den Tests vorne dabei© 2012 OneConsult GmbH 28www.oneconsult.com
  29. 29. Agenda Agenda → Über OneConsult GmbH & me → Android OS → Sicherheitsanalyse → Security Suites für Android →Fazit© 2012 OneConsult GmbH 29www.oneconsult.com
  30. 30. Fazit Fazit → Modernes Betriebssystem → Berücksichtigung von Sicherheitsaspekten → Es gilt zu beachten ◦ Attraktiv für Angriffe (Verbreitung, Daten) ◦ Langsame Updates / Automatische Updates ◦ Kein Vertrauen in Google Play → Eignet sich Android für den geschäftlichen Einsatz? ◦ Auch andere Smartphones haben Probleme  ◦ Mobile Device Management (MDM) ◦ Einschränken der Gerätetypen (Update Aufwand) → XMV© 2012 OneConsult GmbH 30www.oneconsult.com
  31. 31. © 2012 OneConsult GmbHwww.oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Tobias Ellenberger Mediamatiker EFZ, MCITP, OPST & OPSA COO & Co-Partner tobias.ellenberger@oneconsult.com +41 79 314 25 25 Hauptsitz Büro Deutschland Büro Österreich OneConsult GmbH Niederlassung der OneConsult GmbH Niederlassung der OneConsult GmbH Schützenstrasse 1 Karlstraße 35 Wienerbergstraße 11/12A 8800 Thalwil 80333 München 1100 Wien Schweiz Deutschland Österreich Tel +41 43 377 22 22 Tel +49 89 452 35 25 25 Tel +43 1 99460 64 69 Fax +41 43 377 22 77 Fax +49 89 452 35 21 10 Fax +43 1 99460 50 00 info@oneconsult.com info@oneconsult.de info@oneconsult.at© 2012 OneConsult GmbHwww.oneconsult.com

×