Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Sicherheit mobiler Geräte: Können wir unseren Smartphones noch trauen (und sie uns)?
Univ.-Prof. Dr. René MayrhoferVorstand der Instituts für Netzwerke und Sicherheit
Vortrag in der Reihe „Science in Residence“2016-04-04 19:00, Wissensturm Linz
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 3
Was sind mobile Geräte?
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 4
Grundlagendefinition der Computersicherheit: CIA Triade
Confid
entia
lity /
Vertr
aulic
hkei
t Integrity /
Integrität
Availability /Verfügbarkeit
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 5
Motivierendes Szenario:Konvergenz sicherheitskritischer Dienste
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 6
Angriffe auf das Mobiltelefon über Netzwerke
Angriffe auf das Mobiltelefon durch bösartige installierte Apps (Malware)
Weitergabe von privaten Daten durch installierte Apps (Werbung und andere)
Vorgeben des Erscheinungsbilds anderer Apps
Verfolgung der Bewegungshistorie von Benutzern
Abhören der gesamten Kommunikation Identitätsdiebstahl Erzeugen signifikanter Kosten für Benutzer Denial-of-Service Angriffe (Funknetzwerke,
Batterie, Benutzerinterface, Smartcard-PIN, etc.)
Schädigung der Infrastruktur
und viele andere mehr …
Aktuelle Probleme und Gefahren
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 7
Klassen von Gefährdungen
Hardwarezugriff durch Dritte muss angenommen werden verlorene, gestohlene, verborgte Geräte
Drahtlose Kommunikation Kurzstrecke (Bluetooth, NFC, WLAN) und Langstrecke (GSM, UMTS, LTE, …)
Benutzerschnittstelle Zugriff durch unberechtigte Dritte Unterschieben „falscher“ Apps oder Geräte
Softwarefehler (unabsichtlich oder absichtlich) in der Plattform / im Betriebssystem durch hohe Komplexität in Anwendungen → nicht vertrauenswürdige Drittanbieter
Verletzung der Privatsphäre aus Vielzahl von Daten am Gerät durch obige Klassen von Gefährdungen durch automatische Synchronisation von Daten in „die Cloud“
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 8
Klassen von Angreifern
Kollegen, Freunde, Familie, Bekannte, … Zugriff auf das Gerät hauptsächlich Neugier
Diebstahl des Geräts: Kleinkriminalität bis Bandenwesen entweder wegen Wert der Hardware oder wegen Wert der darauf gespeicherten Daten und Zugänge Spezialproblem Identitätsdiebstahl
Organisierte Kriminalität Masse statt Klasse – die Menge erfolgreicher Beutezüge zählt zerschiedene Ziele: Mobile Banking, Botnetze, Identitäten, …
Werbenetzwerke: möglichst viele Daten für Profiling Google und Facebook ...
Geheimdienste
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 9
Klassen von Gefährdungen:Gerätesicherheit
Gerät
Software
Sichere Software ist schwierig/aufwändig zu schreiben
Problem: Aktuelle Plattformen (z.B. iOS, Android, Windows Phone) sind viel zu komplex um realistisch validiert zu werden
Ansatz: Validierung eines kleinen Kernteils, der dann vertrauenswürdige von nicht vertrauenswürdigen Teilen trennt
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 10
Hardware
Betriebssystem
App AppApp
Benutzerinteraktion
Klassen von Gefährdungen:Ebenen im mobilen Gerät
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 11
Hardware
Betriebssystem
App AppApp
Benutzerinteraktion
Klassen von Gefährdungen:Sicherheitszonen
Standard-Zone
SensibleZone
Arbeits-Zone
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 12
Klassen von Gefährdungen:Kommunikation mit anderen Geräten
Schwierig weil
Leicht angreifbar
Unsichbar: nicht wahrnehmbar, welche Geräte miteinander kommunizieren
Bei vielen Geräten keine Benutzerschnittstellen
Skalierbarkeit der Aufmerksamkeit
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 13
Ein Ansatz für sichere Geräte-zu-Geräte Kommunikation: Schütteln
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 14
Daten von Beschleunigungssensoren
R. Mayrhofer and H. Gellersen, “Shake well before use: Intuitive and secure pairing of mobile devices,” IEEE Transactions on Mobile Computing, vol. 8, pp. 792-806, June 2009
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 18
Klassen von Gefährdungen:Kommunikation mit Benutzern
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 19
http://www.telemed.no/new-opportunities-present-new-challenges.552290-80451.html
Benutzerauthentifizierung per Geheimnis
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 20
Benutzerauthentifizierung per Biometrie
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 21
R. D. Findling and R. Mayrhofer, “Towards pan shot face unlock: Using biometric face information from different perspectives to unlock mobile devices,” International Journal of Pervasive Computing and Communications (IJPCC), vol. 9, pp. 190-208, 2013
R. D. Findling, F. Wenny, C. Holzmann, and R. Mayrhofer, “Range face segmentation: Face detection and segmentation for authentication in mobile device range images,” in Proc. MoMM 2013, pp. 260-269
Benutzerauthentifizierung per Biometrie: Gesicht
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 22
Benutzerauthentifizierung per Biometrie
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 23
Benutzerauthentifizierung per BiometrieIris
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 24
Benutzerauthentifizierung per Biometrie:Gangart
M. Muaaz and R. Mayrhofer, “Orientation Independent Cell Phone Based Gait Authentication,” in Proc. MoMM 2014, pp. 161-164
http://www.homelandsecuritynewswire.com/gait-biometrics-shows-promise
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 25
Benutzerauthentifizierung per BiometrieGangart
M. Muaaz and R. Mayrhofer, “Orientation Independent Cell Phone Based Gait Authentication,” in Proc. MoMM 2014, pp. 161-164
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 30
Benutzerauthentifizierung per Gangart
M. Muaaz and R. Mayrhofer, “Orientation Independent Cell Phone Based Gait Authentication,” in Proc. MoMM 2014, pp. 161-164
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 32
Klassen von Gefährdungen:Kommunikation in alle Richtungen
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 33
Klassen von Gefährdungen:Vertrauen in das eigene Gerät
R. Mayrhofer, “An architecture for secure mobile devices,” Security and Communication Networks, 2014 (AID SEC1028).
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 39
Sicherheitskonzepte in iOS vs. Android Geschlossenes Ökosystem
Alle Apps gehen durch Store außer bei Jailbreak...
Einige Sicherheitsmaßnahmen auf Ebene des Betriebssystems dynamische Berechtigungen schon
länger unterstützt
Transparente Verschlüsselung am Gerät per Default aktiv iOS 8 macht dies sicher!
Offenes Ökosystem Beliebige Apps können installiert
werden, aber Kontrolle durch
inkl. dynamischer Berechtigungen
Transparente Verschlüsselung am Gerät ab Android 5 für Google-Geräte als Default, andere Hersteller u.U. nur manuell
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 40
Aktuelle Diskussionen
Vorratsdatenspeicherung, Sicherheitspolizeigesetz, Staatsschutzgesetz, … und ihre Auswirkungen auf Mobilkommunikation
Bankomatkarte mobil
Apple vs. FBI
Android 6.0 „Patch Level“ und Update-Politik der Hersteller
...
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 41
Verbesserung der Sicherheit auf eigenen Mobilgeräten: Gerätesicherheit (1/2)
Gerätesicherheit
Betriebssystem stets aktualisieren (wenn verfügbar…)
Gerätesperre einrichten Passwort oder PIN vermutlich sicher wenn ausreichend lang Fingerabdruck vernünftiger Kompromiss Entsperrmuster in Kombination mit Passwort beim Einschalten Gesichts- und Sprechererkennung derzeit nicht sicher genug
Geräteveschlüsselung einrichten → wenn möglich mit langem Passwort beim Einschalten, aber alternativer Entsperrmethode
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 42
Verbesserung der Sicherheit auf eigenen Mobilgeräten: Gerätesicherheit (2/2)
Gerätesicherheit
Installation von Apps von unbekannten Quellen nicht erlauben (z.B. auch über scheinbar von Hausbank versandte Emails)
Automatisches Sperren des Geräts nach z.B. 1 Min
Remote Wipe (Fernlöschen) und u.U. Tracking aktivieren
Spiele, soziale Netzwerke und andere „unwichtige“ Apps von sensiblen trennen → unter Android mehrere Benutzer am Gerät
Keine Apps installieren, die man nicht wirklich braucht → jede kann potenziell die Privatsphäre verletzen oder Sicherheitslücken aufweisen (siehe Taschenlampen-Apps mit Zugriff auf Adressbuch...)
VHS Science in Residence: Sicherheit mobiler Geräte2016-04-04 43
Verbesserung der Sicherheit auf eigenen Mobilgeräten: Netzwerksicherheit
Sicherheit von Netzwerkverkehr
VPNs verwenden, wenn Verbindung zu nicht-vertrauenswürdigen Netzwerken besteht (z.B. WLAN Hotspots)
Bei bekannten WLANs (einmal manuell) Zertifikate installieren, zu diesen Netzwerken nicht verbinden an zweifelhafter Orten
Zwei-Faktor-Authentifizierung für wichtige Dienste Achtung: Mobile Banking Apps mit SMS-TAN sind gefährlich!
SMS ist nicht mehr zweiter Faktor wenn am selben Gerät
Verschlüsselte Kommunikation einsetzen statt Cloud-Services „Signal“ für Android und iOS frei verfügbar für Nachrichten,
Sprache und Dateien „WhatsApp“ ist sehr problematisch, „Facebook Messenger“
noch mehr, „Instagram“, „SnapChat“, etc. ebenso
JOHANNES KEPLERUNIVERSITÄT LINZAltenberger Str. 694040 Linz, Österreichwww.jku.at
Danke für Ihre Aufmerksamkeit!
Univ.-Prof. Dr. René MayrhoferVorstand der Instituts für Netzwerke und [email protected] https://ins.jku.at