Mobile SecurityVeiligheidsrisico's van mobiele toestellen en apps

Leuven.inc – 11 februari 2015Jan Guldentops ( j@ba.be )BA N.V. ( http://www.ba.be )

Wie ben ik ?

Jan Guldentops (°1973)• Dit jaar bouw ik 19 jaar server en netwerk infrastructuren

• Oprichter ULYSSIS (°1994), Better Access (°1996) en BA (°2003)

• Open Source Fundamentalist (na mijn uren)

• Sterke praktische achtergrond op het vlak van ICT beveiliging

➢ Ben toevalling terechtgekomen in de securitywereld➢ 1996 beroepskrediet

Breng veel tijd door in het labo / R&D (vooral security)

Samengevat:

COMMON SENSE AS A SERVICE

(CAAS)

Wat is security ?

HET GARANDEREN VAN CIA

Moeilijk evenwicht

➢ Moeilijke (soms onmogelijke) balans tussen : ➢ veiligheid ➢ functionaliteit ➢ gebruikersgemak➢ budget

Prehistorie

Doorbraak

● 2002 Blackberry● 2007 Iphone ● 2005 Google koopt

Android INC ● 2007 Open Handset

Alliance ● 2010 Nexus One

Toekomst ?

● ● Microsoft ? ● Android concurrentie ● Ubuntu Phone ● Andere spelers ?

Markt

Datacommunicatie

● Wifi ● is overal● is quasi een mensenrecht geworden!

● Mobile data ● is betaalbaar geworden● is enorm geëvolueerd

– 1G 2400 bauds– 2G 9600 bauds– 3G 384Kbit – 4G theoretisch 100Mbit -> eerder 25Mbit – Toekomst: tot 1Gbit

● Coverage : – 64% Belgen hebben4G ( Proximus )

Appstores in the cloud

● Software-as-a-service● Gerund vanuit een cloud infrastructuur ● Alle voordelen van dien :

– Pay what you use – Elastisch – Geen eigen infrastructuur– Etc.

● Appstores ● Hele ecosystemen ● Revolutie in de software-wereld● Er is voor alles een app die je met een swipe kan kopen.

Mobilisatie

● De perimeter is volledig verdwenen● Mensen willen van overal met allerlei toestellen

werken● Enorme consequenties op het vlak van :

● Netwerk ● Authenticatie ● Veiligheid● Dataleakage● Etc.

Consumerism

● Eindgebruiker zit in de driving seat● Mobile device is een verlengstuk van je

persoonlijkheid,van wie je bent. – Bring your own device

● Kopen zelf apps en gebruiken die

● Zij bepalen wat ze willen en wat er gaat gebeuren.

Risico's

● Focus op mobiele toestellen en hun toepassingen● Smartphones● Tablets

● Maar dit geld ook voor alle andere, minder sexy mobiele devices ● Datadragers● Laptops

Toegang tot het toestel

● Niveau 1: is je toestel vrij toegankelijk ? ● m.a.w. Iedereen die het in handen krijgt, kan ermee aan de slag.

● Niveau 2: afschermen van het toestel ● Pincode ● Password● Schermvergrendeling met patronen● Biometrie

– Face unlock – Touchid ( fingerprint )– Anderen :

● Iris

Te omzeilen

● Pincode raden – zien – vragen

● Biometrie ● TouchID

– Geen sterke authenticatie maar handig!

● Gezichtsherkenning– Krissler

● Irisscan's

Gestolen / verloren toestel

● Data in rust● Duidelijk leesbaar ? ● Forensic tools

– https://santoku-linux.com/

● Remote wipe ● Ben je in staat om de data te wissen ? ● Toestel op te sporen / traceren ?

Iphone analyser

Software van toestel zelf

● Is de software up-to-date ? ● Recente bugs in IOS, Android, etc.

– e.g. Man-in-the-middle attack vector voor IOS ● Jailbreaking ?● Zorg dat de toestellen altijd up-to-date gehouden worden.

● Antivirus ? ● Zin en onzin ?

– Meeste zijn slecht van kwaliteit, spinoff producten● Google: antivirus is onzin in 99% gevallen !

Malware / malicous apps

● Wat kan er misgaan ?● Reklame● De gegevens van en op het

toestel doorsturen● SMSsen sturen ● Telefoongesprekken

opnemen● Nog meer miserie creeëren● Camera activeren

– Foto’s nemen

Malicous Apps

● Google Play / Apple Appstore ● In theorie doen ze quality control ● Tekenen applicaties. ● MAAR: omzeilbaar, slaan de bal er ook geregeld naast.

● Wil nog niet zeggen dat de apps echt veilig zijn : ● Data in rust?● Veilige communicatie ? ● Security/problemen/updates

HTML5

● Actieve content toevoegen aan webpagina's● Stelt je webcontent in staat om te praten met de

hardware van je omgeving ● Enorme mogelijkheden :

– e.g. Awingu

● Maar nieuwe attack vector

Backend

● Niet alleen apps moeten veilig zijn, ook het backend waar ze mee communiceren !

Pas op met WIFI

● WIFI is een mensenrecht geworden● Wanneer je naar een AP connecteert :

● Wie luister er mee ? – Sniffing

● Ideale phishing toepassing– Rogue Access Points

● Aanvallen op je systeem vanop die WIFI

Wifi en privacy

Waar moet je rekening mee houden?

● Hou rekening met de risico's ● Denk na ● Beschouw mobile devices niet als iets

speciaals maar als toestellen als alle anderen. ● Opnemen in de security policy ● Gestructureerd beveiligen, eventueel met een

MDM oplossing

Eigen apps ontwikkelen

● Kies je development-tools en libraries goed !● Kwaliteit, updates, begeleiding, crossplatform, etc.● e.g. Recente problemen met openssl, libc, etc.

● Data op toestellen zelf ● Encrypted, zo beperkt mogelijk ● In eigen sandbox

● Veilige, geëncrypteerde applicaties● Update-mechanisme

● Eventueel in een MDM omgeving of een Enterprise App store

● Testen en permanente verbeteringstrajecten

Internet of things

● Alles heeft vandaag de dag een ip-adres en wordt aan het internet gehangen : ● Auto's● Camera's● Gebouw beheerssystemen● Liften● Telefoons / videoconferencing

● Veel van de omgevingen zijn hier niet klaar voor !

Internet of Sheep ( IoS )

Free VIP Tickets

http://ba.be/infosec/

Thank YouContact us

016/29.80.45

016/29.80.46

www.ba.be / Twitter: batweets

Remy TorenVaartdijk 3/501B-3018 Wijgmaal

info@ba.be

Twitter: JanGuldentops

http://be.linkedin.com/in/janguldentops/