Mobile Security und Netzsicherheit - nlt.de · • Teile der (Klartext) GSM-Signalisierung können vorhergesagt werden („Known Plaintext“) • Verschlüsselte Luftschnittstelle

Mobile Security und Netzsicherheit

11. Kommunales

IuK-Forum

Niedersachsen 2011

Höchstleistung für Ihr Business.

„Handys, Smartphones, PDAs & Co. - die funktionsreichen Rechenzwerge für unterwegs

bergen mehr Sicherheitsrisiken als

Laptops“ (Computerwoche)

„So sicher telefonieren wie die

Kanzlerin kostet 2600€“ (secusmart)

22.08.2011 Seite 3 IuK-Forum 2011 – Vodafone & Mobile Security und Netzsicherheit

Evolution des Mobilfunks

1. Generation

Analog, Nur Sprache, Access Control und Confidentiality rudimentär (z. B. C-Netz)

2. Generation (GSM)

Digital, Circuit Switched, SIM-basiert, kryptographische Sicherheit

2.5 Generation (GPRS)

Erweiterung um Packet Switched

2.75 Generation (EDGE)

Erhöhung der Bandbreite (neue Modulationsverfahren)

3. Generation (UMTS)

Weitere Bandbreitenerhöhung durch neues Kanalzugriffsverfahren W-CDMA (Spreizung

. des Signals auf ein 5 MHz Frequenzband)

Verbesserte Sicherheit (gegenseitige Authentisierung, Algorithmen)

3.5 Generation (HSDPA/HSUPA)

Erhöhung der Bandbreiten auf Up- und Downlink (3,6 / 7,2 / 14,4 MHz)

GSM Netzstruktur (2G)

• Leitungsvermittelt

• Sprachübertragung

• Datenübertragung über stehende

Verbindung zu einer Zielnummer

(langsam und teuer)

• Übertragung von Nutzdaten und

Signalisierung in getrennten

Kanälen (Zeitschlitzen)

• Übertragung von kurzen Texten im

Signalisierungskanal: SMS

IuK-Forum 2011 – Vodafone & Mobile Security und Netzsicherheit 22.08.2011 Seite 4

UMTS (3G)

• Architektur vergleichbar

• BTS -> „Node B“, BSC -> „RNC“

• WCDMA, keine Frequenzkanäle

• Höheren Datenraten

• Verbesserte Sicherheit


LTE (4G)

• Weitere Erhöhung der Bandbreiten

• All IP Infrastruktur -> Telephonie weiterhin in 2G/3G oder später VoIP

• Es gibt keine Radio Network Controller mehr

• MMEs (Mobility Management Entity): Signalisierung

• S-GWs (Serving Gateways): Nutzdaten

-> Einfachere Struktur reduziert Kosten

Derzeitiges Nutzungsszenario:

DSL-Ersatz im Frequenzband

der digitalen Dividende

eNB

MME / S-GW MME / S-GW

eNB

eNB

S1

S1

S1

S1

X2

X2

X2

E-UTRAN


eUTRAN = Air interface of 3GPP's Long Term Evolution (LTE) upgrade path for

mobile networks (evolved UMTS Terrestrial Radio Access Network)

Security Funktionen im Mobilfunk

• Authentication and Key Agreement (AKA)• Shared Secret: Geheimer Long Term Teilnehmerschlüssel im Netz (AuC) und auf der SIM

(unauslesbar)

• (Gegenseitige) Authentisierung über Challenge Response Verfahren

• Vereinbarung von Short Term Session Keys für die Verschlüsselung

• Confidentiality Protection• Verschlüsselung der Nutzdaten (User Plane)

• Verschlüsselung der Signalisierung (Control Plane)

• Integrity Protection• Nur für Signalisierung

• Über Message Authentication Code (MAC) oder implizit über die Verschlüsselung (bei GSM)

• Network Domain Security• Absicherung der Verbindungen zwischen Netzelementen (Nutzung Privater Netze oder VPNs)



SIM-Security


SIM-Security


SIM-Security

30.08.2011 Seite 11 Corporate security - Vodafone D2 GmbH

Security Solutions

GSM Sicherheit

• Geheimer Teilnehmerschlüssel Ki

• Authentisierung: Verschlüsselung einer Zufallszahl mit Ki

• Verschlüsselung der Luftschnittstelle mit temporärem Schlüssel

• Algorithmus A5/1 -> A5/3


• A3 zur Challenge-Response Authentifikation, IMSI/TIMSI/Ki

• A5 zur Verschlüsselung

• A8 zur Schlüsselberechnung, Kc = Sitzungsschlüssel

Angriffsmöglichkeiten im GSM: IMSI Catcher

Eine falsche Basisstation in der Nähe lockt Endgeräte in Ihr Netz und bietet

eine unverschlüsselte Verbindung an

• Das Gerät arbeitet dazu gegenüber dem Handy wie eine Funkzelle (Basisstation)

und gegenüber dem Netzwerk wie ein Handy; alle Handys in einem gewissen

Umkreis buchen sich bei dieser Funkzelle mit dem stärksten Signal, also dem

IMSI-Catcher, ein (neue ‚serving cell‘)

• Dabei kann er die unverschlüsselt abgehörten Nachrichten nicht unverschlüsselt

weiterleiten, da das Mobilfunkgerät zwar von der Basisstation dazu gebracht

werden kann, unverschlüsselt zu senden, diesen Modus aber nicht von sich aus

wählen darf.

• Deshalb benötigt der IMSI-Catcher eine eigene SIM-Karte und leitet die

abgehörten Daten als eigenes Gespräch weiter.

• Anrufe, die von einem abgehörten Handy aus getätigt werden, zeigen dem

Angerufenen daher auch nicht die Telefonnummer des tatsächlichen Anrufers an,

sondern die des IMSI-Catchers, bzw. sie werden nicht angezeigt.

• Wird von Ermittlungsbehörden genutzt, um die Mobilfunknummer von zu

überwachenden Personen zu ermitteln


Angriffsmöglichkeiten im GSM: A5/1-Schwäche

• Teile der (Klartext) GSM-Signalisierung können vorhergesagt werden

(„Known Plaintext“)

• Verschlüsselte Luftschnittstelle kann abgehört werden und die vorhersagbaren

Stellen identifiziert werden

(„Known Ciphertext“)

• Durch XOR beider Teile kann ein Schlüsselstrom-Stückchen erzeugt werden

• Die Schlüssellänge des A5/1 ist relativ kurz (54 bit)

• Der A5/1 weist Designschwächen auf

-> Dadurch ist es möglich Tabellen (s. g. Rainbow Tables) zu erstellen, die zu

einem Schlüsselstrom-Stückchen den zugrundeliegenden Cipherkey Kc liefern.

Ein Festnetz-equivalentes Sicherheitsniveaus ist nach wie vor gegeben, da

weiterhin eine erhebliche Hürde zum gezielten Abhören von Gesprächen existiert.


Was kann dagegen getan werden (1/2)?

• Vorhersagbarkeit der Signalisierung erschweren (z.B. fixe Füllbits durch

Zufallsfolgen ersetzen)

• Abhörbarkeit und Interpretation der Signalisierung erschweren

(z.B. Frequenzsprünge, Wechsel der temporären Identitäten)

Call

recording

User

detection

Assignment to another cell

Aggressive frequency hopping

(ideally synthesized)

Aggressive TMSI reallocation

Type Countermeasure

TMSI reallocation after each call

Key

deciphering

Request of IMEISV as optional field in the ciphering mode

complete message

VFD2 network status


Was kann dagegen getan werden (2/2)?

• Einführung eines verbesserten Verschlüsselungsalgorithmus (A5/3) =>

Forcierter Rollout läuft in Vodafone, die ersten Zellen sind aktiv

• Dieser arbeitet mit einer erhöhten Schlüssellänge von 128 bit

(Jedes zusätzliche Bit verdoppelt im Prinzip den Aufwand zur Ermittlung des

Schlüssels)


Angriffsmöglichkeiten im GPRS: Fallback to unencrypted

‘Securing GPRS requires actions from networks and application’ (Zitat Karsten Nohl)

Short term mitigation - Application must protect themselves

Mobile applications should start using internet-grade encryption

SSL, proudly used on the internet since 1994, could easily protect all this data

Mid/long term need - Networks must upgrade encryption

Immediately – Switch on encryption

Mid term – Add mutual authentication

Long term – Upgrade to USIM + 128bit GEA/4

Handset Situation – „Strongest encryption” required

ist abhängig vom Endgerät, selbst wenn das Netz dies anbietet

Aktuelle Marktanteile:

25 % of the handsets support up to GEA/3 (as preferred strong encrypytion feature)

65 % of the handsets support up to GEA/2

10 % of the handsets only support GEA/1 as weakest algorithm


UMTS Sicherheit: Verbesserungen gegenüber GSM

• Verbesserter Krypto-Algorithmus [3G Funknetz]

• Verschlüsselung bis zum RNC (statt Basisstation) [3G Funknetz]

• Größere Schlüssellänge (128Bit) [3G Funknetz]

• Gegenseitige Authentisierung [3G SIM Karte (USIM)]

-> Sowohl die Man-in-the-Middle Angriffe als auch die Angriffe auf den Crypto

Algorithmus sind in UMTS nicht möglich



Der Telekommunikationsmarkt1. Mobilfunk

Mobile Security


Der Telekommunikationsmarkt1. Mobilfunk

Mobile Security

Bedrohungsparameter - Usecases

I) Geräteverlust / -diebstahl• Hohes Risiko für mobile Geräte (Lokalisierung, Remote Wipe)

• Größte Angriffsfläche für Angreifer mit Hardware-Knowhow

II) Softwareinstallation• Berechtigungskonzepte

• Schutzebenen

III) Administration / Wartung• Lifecyclemanagement (Prozessplanung, Rollout bis Entsorgung)

• Durchsetzten der Konfiguration

IV) E-Mail-Kommunikation• Schlüsselfunktion für Unternehmenseinsatz

• Umgang mit klassifizierten Daten (Business Apps!)

• Verschlüsselter Datentransport

30.08.2011 Seite 20

Blackberry & End2End-Encryption

• Kommunikation BB-Terminal BES: verschlüsselt & sicher (3DES/AES*)

• Blackberry Enterprise Server (BES): Neben der Übertragung von E-Mails (inkl.

Integritätsüberprüfung und Authentifizierung der Nachricht) liefert der BES noch

Policy- und Device-Management

*AES 256 Bit Message Key

IuK-Forum 2011 – Vodafone & Mobile Security und Netzsicherheit

30.08.2011 Seite 21

• Password-Settings

• Device-Policy Settings über funktionierendes Device-Management

• Terminal-OS härten

• Sichern/Abschalten unsicherer Protokolle, Ports &Schnittstellen (Bluetooth, APIs

etc.)

• "Jailbreak" / „rooting“ detection

• App-Security erhöhen, Installationsmöglichkeiten limitieren

(App-Signatures, Company/Secure App-Stores etc.)

• Application Sandboxing

• 2-Faktor-Authentisierung (Besitz und Wissen)

• VPN- und Encryption-Solutions (On-Device Data!)

• Remote Wipe-/Remote Lock-Lösung im Reparatur-, Verlust- und Diebstahl-Fall

• Return- und Maintenance-Prozesse

• Audit trail/logging

Also was können wir noch auf Endgeräte-Seite tun?

–


Mobile Device Management3rd Party Lösungen

Übersicht der Lösungen - Corporate

Mobil Iron (für alle Plattformen)

• Mobile Iron gibt einen guten Überblick über alle Geräte und deren aktuellen Status . Alle Tests waren durchgehend

positiv.

– Trial ist bei Vodafone durchgeführt worden

Zenprise (für alle Plattformen)

• Die Software zeigt dem Administrator einen Überblick über die Nutzer und ihre Geräte. Die Remote Wipe Funktion

dauerte im Test 6-8 Stunden <= improved

– Bei Vodafone im Einsatz

Microsoft System Center Mobile Device Manager (nur für Windows Mobile)

• Mit dem Microsoft System Center Mobile Device Manager (SCMDM) verfügt man über eine effektive Kontrolle von

Windows Mobile 6.x Geräten. Leichte Integration in bestehende MS Infrastrukturen und sicheren Zugang übers

Netzwerk via VPN.

– Bei Vodafone (noch) nicht im Einsatz

Blackberry Enterprise Server (nur für Blackberry)

• Sehr sichere Umgebung (Zertifizierung BES im MS Exchange Umfeld Fraunhofer Institut 2010)

– Bei Vodafone im Einsatz

Good for Enterprise und Sybase iAnywhere Mobile Office (für alle Plattformen)

• Mit dieser Softwarepaketen kann eine sicherer Anschluss an die Unternehmenskommunikation gewährleistet werden.

Beide Softwarepakete arbeiten als Sandboxlösungen und beinhalten auch Teile eines mobilen Devicemanagements.

– Trial ist bei Vodafone durchgeführt worden


Elements of MDM (by Gardner)


• Software Distribution The ability to manage & support

mobile application incl. deploy,

install, update, delete or block

• Policy Management Development, control & operations

of enterprise mobile policy

• Security ManagementThe enforcement of standard

device security, authentication and

encryption

• Inventory ManagementBeyond basic inventory mgmt, this

includes provisioning and support

• Service ManagementRating of telecom services

Geringer

Schutzbedarf

Mittlerer

Schutzbedarf

Hoher

Schutzbedarf**

Blackberry BIS/BES Blackberry BES Blackberry BES

Apple iOS 4.2 Apple iOS 4.2* Apple iOS 4.2 mit

erweiterter

Authentifizierung

Android 2.2 Android 2.2*

Windows Mobile 6.5 Windows Mobile 6.5*

Empfehlung für den Einsatz in Unternehmen

Welchen Schutzbedarf haben meine Daten?

* Empfohlen nur im Einsatz mit Sybase iAnywhere Mobile Office oder Good for Enterprise

** Für Einsatzzwecke mit höherem Schutzbedarf ist eine Einzelfallprüfung notwendig


30.08.2011 Seite 25

Was bietet Vodafone darüber hinaus?

• Sowohl die VF-Mobilfunknetze, die gesamte VFD2-Infrastruktur als auch die

Terminals werden regelmäßig durch externe Security Dienstleister auf

Schwachstellen untersucht und empfohlene Sicherheitskonzepte umgesetzt

• Umsetzung kunden-spezifischer Security-Anforderungen und Lösungen

• Aktuell ist dies bspw. in VF-DE, -NL, -HU, -CZ, -IT und VF-UK/-IR für iPhone-

und iPad-Terminals sowie deren Einsatz im Enterprise-Umfeld realisiert und

eine Zertifikats-basierte Lösung implementiert worden.

• Minimum Sec.-Policy:


Settings Ex2003 SP2

Password Required X

Min Password Length 6

Alphanumeric pwd X

Inactivity Timeout 15

Max Failed Password Attempts 8

Policy Refresh Interval 24h


Jetzt Ihre

Fragen?

30.08.2011 Seite 27

Fragen?

Immer gerne!

Claudio Wolff

Head of Security Solutions

PXS - Corporate Security & Safety

Tel.: +49 211/533-6822

Mob.: +49 174/3222080

EMail: [email protected]

Vodafone D2 GmbH

Am Seestern 1

D-40547 Düsseldorf


Backup


GPRS-Architektur (GSM-Erweiterung)


UMTS – Sicherheitsarchitektur


Symantec security response - A Window Into Mobile Device Security


Documents

Mobile Security und Netzsicherheit - nlt.de · • Teile der (Klartext) GSM-Signalisierung können vorhergesagt werden („Known Plaintext“) • Verschlüsselte Luftschnittstelle