SlideShare ist ein Scribd-Unternehmen logo
Rahmenbedingungen
Mobile Security
Peter Teufl
peter.teufl@iaik.tugraz.at
Überblick
Einsatzszenarien:
Unternehmen - Verwaltete Geräte
Unternehmen - BYOD
End-Anwender
Plattform-Sicherheit
Applikationssicherheit
Best Practice
Szenarien
Szenarien
Interne Verwendung (öffentlich/privat):
Mobile-Device-Management (MDM)
Bring-Your-Own-Device (BYOD)
End-Anwender
Entwicklung von Applikationen
Szenario - Verwaltete Geräte
Interne Verwendung
Auswahl der Plattform(en)
Umsetzen von Sicherheitskonzept
Modellierung der MDM-Regeln
Eingehen auf plattform-spezifische Sicherheitsfunktionen/Probleme
Ausgewählte Applikationen
Sicherheit durch Einschränkungen
Szenario - BYOD
BYOD
Beliebige Plattformen
Kein (!) Einfluss auf einen großen Teil der
Sicherheitsfunktionen
(Benutzer entscheidet, da privates Gerät)
Aktuelle Lösungen?
Szenario - BYOD
Smartphone

Smartphone

Security

Config

App

App

App

App

Security

Config

MDM

MAM

MDM

Container App
Management

Contai
ner

App

Container
App

App

App

Smartphone
Business Area
Security

Smartphone
Security

App Wrappers

App

App

App

App

Config
MDM

Application
Wrapper
Management

Config

App

App

MAM

Private Area
Security

Blackberry
Balance

Config

App

App
Szenario - End-Anwender
Entwicklung von End-Anwender Applikationen
Ähnliche Sichtweise wie Container-App Hersteller
Vergleichbar mit BYOD, aber noch weniger
Voraussetzungen
Keinen Einfluss auf Sicherheitsfunktionen
Eigene Funktionen, detalliertes Plattformwissen
Wichtig für sicherheitsrelevante Apps
Sicherheit
Kritische Daten
PIM, Position, Dokumente etc.
Probleme
Gefahren: Diebstahl, Malware etc.
Sehr unterschiedliche Plattformen
iOS, Android, Windows Phone,
Windows Store, Blackberry, ...
Komplexität: Systeme absichern, Sichere Applikationen
Sicherheit
Plattformsicherheit
Schutzfunktionen der Plattform
Einfluss Benutzer (BYOD)
Applikationssicherheit
Sichere Implementierung
Plattform-spezifische Funktionen
Plattformsicherheit
Plattformsicherheit
Basissicherheit
Verschlüsselung, Zugriffsschutz
MDM-Funktionen
Applikationen
Basissicherheit
Updates?
Fragmentierung: Versionen, Funktionen?
Betriebssystem?
Architektur?
Malware-Schutz
(buffer overflows,
sandboxes)
Verschlüsselung
Gesamtes Dateisystem, Backup, Einzelne Dateien?
Einfluss Entwickler?
Immer aktiv? Benutzerinteraktion?
Hardware Chip in Verwendung?
Verschlüsselung abhängig von PIN?
Schlüsselableitungsfunktion?
Remote Wipe?
Beispiel: iOS/Android Encryption
LockScreen
Type
Numerical

Alphanum
10/26 letters

Alphanum
10/52 letters

Complex

Length Chars
4
10
6
10
8
10
10
10

Number of
passcodes
10000
1000000
100000000
10000000000

Brute-Force
Days
0.0
0.9
92.6
9,259.3

Brute-Force
Brute-Force
Days 1
Days (1000
instance
instances)
0.0
0.0
0.0
0.0
0.0
0.0
2.6
0.0

Cost $
On-Demand
Instances
0.0
0.0
1.3
133.3

4
6
7
8
9
10

36
1679616
36 2176782336
36 78364164096
36 2.82111E+12
36
1.0156E+14
36 3.65616E+15

1.6
2,015.5
72,559.4
2,612,138.8
94,036,996.9
3,385,331,888.9

0.0
0.6
20.7
746.3
26,867.7
967,237.7

0.0
0.0
0.0
0.7
26.9
967.2

0.0
29.0
1,044.9
37,614.8
1,354,132.8
48,748,779.2

4
5
6
7
8
9

62
14776336
62
916132832
62 56800235584
62 3.52161E+12
62
2.1834E+14
62 1.35371E+16

13.7
848.3
52,592.8
3,260,754.3
202,166,764.4
12,534,339,394.7

0.0
0.2
15.0
931.6
57,761.9
3,581,239.8

0.0
0.0
0.0
0.9
57.8
3,581.2

0.2
12.2
757.3
46,954.9
2,911,201.4
180,494,487.3

4
5
6
7
8

107
131079601
107 14025517307
107 1.50073E+12
107 1.60578E+14
107 1.71819E+16

121.4
12,986.6
1,389,565.1
148,683,470.0
15,909,131,294.7

0.0
3.7
397.0
42,481.0
4,545,466.1

0.0
0.0
0.4
42.5
4,545.5

1.7
187.0
20,009.7
2,141,042.0
229,091,490.6

iOS on device

Android Amazon GPU

GPU Price
Mobile Device Management
Welche Policies?
Entfernen der Profile?
Einschränken von Applikationen, Märkten?
Fragmentierung?
Implementierung des MDM-Agents?
Applikationen
Applikationsquellen?
APIs für Applikationen?
SMS-Zugriff
Multitasking
Berechtigungen (Usability?)
Einfluss des Entwicklers auf Sicherheitsfunktionen?
Applikationssicherheit
Applikationssicherheit
Sichere Kommunikation (HTTPS, Zertifikate, SMS)
Datenverschlüsselung
Überprüfen ob Gerät “gerooted, jailbreak”
Verwenden von Plattform-Features: KeyChains etc.
Beispiel
Container Applikationen (auch andere Apps mit kritischen Daten)
Schlüsselableitung (vom Passwort zum Schlüssel)
sehr wichtig für gute Verschlüsselungssysteme

Passcode

Schlüsselableitung

Salt

Key
derivation

Salt
Lange Ableitungszeit (z.B. 80ms pro Passwort auf iOS)
Know-How um es richtig zu implementieren
Fehler: sehr leichte Brute-Force Angriffe...

Derived key

Data encryption
key
Beispiel
Lock-Screen
Type
Numerical

Alphanum
10/26 letters

Alphanum
10/52 letters

Complex

Length Chars
4
10
6
10
8
10
10
10

Number of
passcodes
10000
1000000
100000000
10000000000

Brute-Force Days
0.0
0.0
0.0
0.2

Brute-Force
Days

Cost $ GPU
0.0
0.0
0.0
0.0

0.0
0.0
0.0
0.0

0.0
0.9
92.6
9,259.3

4
6
7
8
9
10

36
1679616
36 2176782336
36 78364164096
36 2.82111E+12
36
1.0156E+14
36 3.65616E+15

0.0
0.0
1.3
46.6
1,679.2
60,452.4

0.0
0.0
0.0
0.0
1.7
60.5

0.0
0.0
0.2
8.3
299.0
10,763.7

1.6
2,015.5
72,559.4
2,612,138.8
94,036,996.9
3,385,331,888.9

4
5
6
7
8
9

62
14776336
62
916132832
62 56800235584
62 3.52161E+12
62
2.1834E+14
62 1.35371E+16

0.0
0.0
0.9
58.2
3,610.1
223,827.5

0.0
0.0
0.0
0.1
3.6
223.8

0.0
0.0
0.2
10.4
642.8
39,852.9

13.7
848.3
52,592.8
3,260,754.3
202,166,764.4
12,534,339,394.7

4
5
6
7
8

107
131079601
107 14025517307
107 1.50073E+12
107 1.60578E+14
107 1.71819E+16

0.0
0.2
24.8
2,655.1
284,091.6

0.0
0.0
0.0
2.7
284.1

0.0
0.0
4.4
472.7
50,583.1

121.4
12,986.6
1,389,565.1
148,683,470.0
15,909,131,294.7
iOS on device
Einfluss auf Szenarien
Plattform
SIcherheit

Verwaltete Geräte (MDM)
Applikations
Sicherheit

BYOD
Plattform
SIcherheit

Endanwender
Plattform
SIcherheit

Applikations
Sicherheit

Applikations
Sicherheit
Verwaltete Geräte
iOS:
sehr gute Sicherheitsfunktionen (Verschlüsselung, MDM etc.)
Android:
sehr stark plattformabhängig!
Vor allem im MDM-Bereich
Windows Phone/Windows Store:
Noch wenige MDM-Features, VPN (8.1 update...), sonst eher bei iOS als bei Android
Blackberry: Balance Framework! Gute Sicherheitsarchitektur.
BYOD, End-Anwender
Blackberry:
Balance framework: integrierte BYOD Lösung
iOS, Windows Phone/Store:
Große Vorteile gegenüber Android
Android:
Alternative Quellen, systemnahe APIs
Sichere Applikationsentwicklung
Detalliertes Wissen über Sicherheitsfunktionen der Plattform
z.B. Sicheres Speichern von Schlüsselmaterial, Daten
Detalliertes Know-How für die Implementierung eigener Sicherheitsfunktionen
Verschlüsselung
Schlüsselableitung
Sichere Kommunikation
Externe Befehle: SMS etc.
Root-Checks
Kontakt
peter.teufl@iaik.tugraz.at
Refs:
https://sites.google.com/site/acnws2012/
http://www.iaik.tugraz.at/content/about_iaik/people/teufl_peter/

Weitere ähnliche Inhalte

Andere mochten auch

Kostentreiber bei der iOS-Entwicklung
Kostentreiber bei der iOS-EntwicklungKostentreiber bei der iOS-Entwicklung
Kostentreiber bei der iOS-Entwicklung
xrb
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
Ralph Belfiore
 
iOS Security and Encryption
iOS Security and EncryptioniOS Security and Encryption
iOS Security and Encryption
Urvashi Kataria
 
Mobile Device Encryption Systems
Mobile Device Encryption SystemsMobile Device Encryption Systems
Mobile Device Encryption Systems
Peter Teufl
 
Das iPad sicher im Unternehmen einsetzen
Das iPad sicher im Unternehmen einsetzenDas iPad sicher im Unternehmen einsetzen
Das iPad sicher im Unternehmen einsetzen
jekel & team
 
iOS Application Security
iOS Application SecurityiOS Application Security
iOS Application Security
Egor Tolstoy
 
Hacking and Securing iOS Apps : Part 1
Hacking and Securing iOS Apps : Part 1Hacking and Securing iOS Apps : Part 1
Hacking and Securing iOS Apps : Part 1
Subhransu Behera
 
Security and Encryption on iOS
Security and Encryption on iOSSecurity and Encryption on iOS
Security and Encryption on iOS
Graham Lee
 
MDM - airwatch
MDM - airwatchMDM - airwatch
MDM - airwatch
Bharat Sinha
 
Security models of modern mobile systems
Security models of modern mobile systemsSecurity models of modern mobile systems
Security models of modern mobile systems
Divya Raval
 
AirWatch Solution Overview
AirWatch Solution OverviewAirWatch Solution Overview
AirWatch Solution Overview
Proyet Kft
 
iOS-Application-Security-iAmPr3m
iOS-Application-Security-iAmPr3miOS-Application-Security-iAmPr3m
iOS-Application-Security-iAmPr3m
Prem Kumar (OSCP)
 
IOS Encryption Systems
IOS Encryption SystemsIOS Encryption Systems
IOS Encryption Systems
Peter Teufl
 
Main types of loyalty programs
Main types of loyalty programsMain types of loyalty programs
Main types of loyalty programs
Benjamin FILAFERRO
 
Loyalty Programme Marketing
Loyalty Programme MarketingLoyalty Programme Marketing
Loyalty Programme Marketing
Huw Hopkin
 
Mobile Sicherheit Basics
Mobile Sicherheit BasicsMobile Sicherheit Basics
Mobile Sicherheit Basics
Lookout
 
Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?
Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?
Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?
Connected-Blog
 

Andere mochten auch (17)

Kostentreiber bei der iOS-Entwicklung
Kostentreiber bei der iOS-EntwicklungKostentreiber bei der iOS-Entwicklung
Kostentreiber bei der iOS-Entwicklung
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
 
iOS Security and Encryption
iOS Security and EncryptioniOS Security and Encryption
iOS Security and Encryption
 
Mobile Device Encryption Systems
Mobile Device Encryption SystemsMobile Device Encryption Systems
Mobile Device Encryption Systems
 
Das iPad sicher im Unternehmen einsetzen
Das iPad sicher im Unternehmen einsetzenDas iPad sicher im Unternehmen einsetzen
Das iPad sicher im Unternehmen einsetzen
 
iOS Application Security
iOS Application SecurityiOS Application Security
iOS Application Security
 
Hacking and Securing iOS Apps : Part 1
Hacking and Securing iOS Apps : Part 1Hacking and Securing iOS Apps : Part 1
Hacking and Securing iOS Apps : Part 1
 
Security and Encryption on iOS
Security and Encryption on iOSSecurity and Encryption on iOS
Security and Encryption on iOS
 
MDM - airwatch
MDM - airwatchMDM - airwatch
MDM - airwatch
 
Security models of modern mobile systems
Security models of modern mobile systemsSecurity models of modern mobile systems
Security models of modern mobile systems
 
AirWatch Solution Overview
AirWatch Solution OverviewAirWatch Solution Overview
AirWatch Solution Overview
 
iOS-Application-Security-iAmPr3m
iOS-Application-Security-iAmPr3miOS-Application-Security-iAmPr3m
iOS-Application-Security-iAmPr3m
 
IOS Encryption Systems
IOS Encryption SystemsIOS Encryption Systems
IOS Encryption Systems
 
Main types of loyalty programs
Main types of loyalty programsMain types of loyalty programs
Main types of loyalty programs
 
Loyalty Programme Marketing
Loyalty Programme MarketingLoyalty Programme Marketing
Loyalty Programme Marketing
 
Mobile Sicherheit Basics
Mobile Sicherheit BasicsMobile Sicherheit Basics
Mobile Sicherheit Basics
 
Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?
Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?
Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?
 

Ähnlich wie Rahmenbedingungen mobile security

Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
Fraunhofer AISEC
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
Allessandra Negri
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Fraunhofer AISEC
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP Sicherheit
Virtual Forge
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
ICT Economic Impact
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
Fraunhofer AISEC
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Fraunhofer AISEC
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
Alexander Benoit
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealth
Fraunhofer AISEC
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
QAware GmbH
 
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
go4mobile ag
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Mario-Leander Reimer
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011
jamescv31
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011
jamescv31
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
Carsten Cordes
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
QAware GmbH
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09
Tim Cole
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
ONE Schweiz
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
ONE Schweiz
 
Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...
Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...
Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...
Ramon Anger
 

Ähnlich wie Rahmenbedingungen mobile security (20)

Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP Sicherheit
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealth
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
 
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...
Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...
Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...
 

Rahmenbedingungen mobile security