Mobile Security
Transcrição
Mobile Security
Mobile Security PDAs & Mobiltelefone Dominic Neumann, MBA Geschäftsführender Gesellschafter - sevian7 IT development GmbH, Graz Ausschussmitglied der österreichischen Experts Group für IT Security und Leiter der steirischen Experts Group für IT Security (WKÖ) Steirischer E-Day 01.03.2007 Inhalt • Was ist IT Security? • Mobile Security Einleitung • Thema 1 - Bedrohungsszenarien • Thema 2 - Schadprogramme • Thema 3 - Verlust • Thema 4 - Hacker • Thema 5 - Integration in Sicherheitskonzepte Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 2 Was ist IT Security? Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 3 Was ist IT Security? Schutz vor unerwünschten Zugriffen auf Daten bzw. Verlust von Daten. • Physische Sicherheit • Schadprogramme • Internet • Datensicherung - Backup • Interne Netzwerke & WLAN • Mobile Geräte • Dokumentation Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 4 Warum IT Security? Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 5 Warum IT Security? Schutz vor unerwünschten Zugriffen auf Daten bzw. Verlust von Daten. • 93% aller PCs weltweit zu wenig geschützt • 80% aller PCs in Österreich „verseucht“ • ca. 20 Mrd. US$ weltweiter Schaden 2005 • 70% aller WLANs in Österreich ungewollt offen • Ausfall / Defekt von Hardware • Äußere Umstände Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 6 Schadprogramme Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 7 Schadprogramme Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 8 Schadprogramme Es gibt generell folgende Arten von Schadprogrammen: • herkömmliche Viren • Trojaner • (Phishing) bzw. deren Verteilung: • Email / Spam • Web / Internet • Externe Speichermedien – USB • Handy Immer aktueller Virenscanner!!! Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 9 Schadprogramme - Phishing 24.05.2006 "Phishing"-Opfer um 31.000 Euro erleichtert Auf einen "Phishing"-Betrüger ist eine 19 Jahre alte Südsteirerin hereingefallen. Laut Sicherheitsdirektion Steiermark wollte die Frau eine Banküberweisung per Internet durchführen. Wenige Tage später fehlten auf ihrem Konto rund 31.000 Euro. Ein Mittäter des mutmaßlichen Internet-Betrügers konnte ausgeforscht werden. Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 10 Schadprogramme - Phishing 22.02.2007 Vorsicht: Trojaner in Rechnungen versteckt Neben Ikea-Rechnungen kommen jetzt auch weitere Zahlungsaufforderungen, die im Anhang einen Trojaner beherbergen. Internet AG und Co So bekam etwa Erna W. aus Mödling eine Rechnung über 109,90 Euro per EMail zugesandt, mit dem Betreff "Internet AG "1&1". Für diesen Betrag wurden ihr diverse Dienstleistungen verrechnet, die sie nicht in Anspruch genommen hatte. Die Rechnung wurde im Anhang im pdf-exe-Format geschickt, wo sich der Trojaner versteckte. Ebenso kursieren derzeit gefälschte Ikea-Rechnungen mit einem Schädling im Netz. Im Betreff dieser E-Mails steht entweder "Internet AG "1&1" oder "Ihre detaillierte IKEA Rechnung3". Inzwischen sind aber auch Amazon- und eBay-Kunden Ziel derartiger Attacken geworden. Im Gegensatz zu den Ikea-und Amazonangriffen, werden eBay-Kunden darauf hingewiesen, dass ihre E-Mail-Adresse geändert worden ist. Hinter dem als PDF-File getarnte "Bitte lesen"-Dokument steckt ebenfalls ein .exe-Trojaner. Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 11 Schadprogramme - Phishing Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 12 Mobile Security Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 13 Mobile Security - Einleitung Wer hat KEIN Mobiltelefon oder KEINEN PDA? - Schaden durch Datenverlust - GF haftet persönlich für Datensicherheit nach DSG - § 14, §15 DSG => Verwaltungsstrafen - sichere IT-Infrastruktur BASEL II-Kriterium - Imageschaden bei Verbreitung von Viren Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 14 Mobile Security - Einleitung – 29 % der europäischen Internet-Nutzer per Handy im WWW – 19 % in den USA! – – – – 34 % davon in Deutschland 28 % in Frankreich 26 % in Spanien 24 % in Großbritannien – Zwischen 22 und 50 % nutzen dabei NOKIA-Produkte! – Besucht werden Online-Portale Google, Yahoo, MSN, Betreiber-Portale, ... – Genutzte Dienste: TV, Nachrichtendienste, Musikdownloads Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 Quelle: Computerwelt 03.11.2006 15 Der Test… Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 16 Thema 1 Bedrohungsszenarien Mobile Device Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 17 Thema 1 - Bedrohungsszenarien Das Mobile Device als Werkzeug für einen Angriff: interne Bedrohungen – Mobile Device – USB-Stick – WLAN generell Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 18 Thema 1 - Bedrohungsszenarien externe Bedrohungen Mobile Device Das Mobile Device als Ziel des Angreifers (Opferrolle). Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 19 Thema 1 - Bedrohungsszenarien Drei Gruppen der externen Bedrohungen Viren Angreifer Verlust Mobile Device Das Mobile Device als Ziel des Angreifers. (Opferrolle) Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 20 Thema 2 Schadprogramme Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 21 Thema 2 - Schadprogramme Bedrohungspotential? Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 22 Thema 2 - Schadprogramme Bedrohungspotential? Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 23 Thema 2 - Schadprogramme • „Cardblock.A“ - Entdeckt: F-Secure - Entwickler: Biscompute - Art: Virus - Träger: trojanisierte Version eines gecrackten Symbian InstantSis - Wirkung: Blockiert MMC Speicherkarte (Passwort!) Löscht Systemdateien und Mails - Aufruf: Startet nur bei Aufruf des Trojan-Tools Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 24 Thema 2 - Schadprogramme Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 25 Thema 2 - Schadprogramme • „Cardblock.A“ - Lösungen: » Datenrettung: Bei Befall erst syncen, dann reboot » Symbian OS 7.0 - gelöschte Systemdaten beim nächsten Reboot recovern » Symbian OS 8.1a - „hard-format“ / master-clear » Retten der Daten auf MMC - vor reboot syncen » InstallSis deinstallieren Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 26 Thema 2 - Schadprogramme Fazit - Derzeit nur wenige wirklich schädliche „Viren“ - Wie 1981 mit ELK CLONER (PC Virus) stehen wir am Anfang - Anti-Viren-Software ist empfehlenswert - Besonders bei PDAs Gefahr Viren weiterzuleiten per eMail Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 27 Thema 3 Verlust Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 28 Thema 3 - Verlust • • • • Beobachtungszeitraum: 6 Monate Beobachtungsjahr: 2005 Ort: Chicago Bereich: Taxi • vergessene Mobiltelefone: 85.000 • vergessene PDAs bzw. PocketPCs: 21.000 Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 29 Thema 3 - Verlust • Haben Sie einen Zugriffschutz implementiert? • Welche Daten sind auf ihrem MobileDevice? – – – – – private Daten vertrauliche Korrespondenz (SMS, Emails) Kundenlisten (Kontaktdaten) Gesprächsnotizen Kennwörter • Deckt Ihre Versicherung den Verlust? • Wann haben Sie Ihre Daten zuletzt gesichert? • Haben Sie Zugriff auf ein adäquates Ersatzgerät, können Ihre Kunden Sie erreichen? • Welcher Zeitverlust entsteht für die Rekonstruktion der Daten? Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 30 Thema 3 - Verlust • Lösung: – Zugriffschutz aktivieren MobileDevice autom. sperren, Freigabe nur gegen Kennwort – Verschlüsselungen Nachteil: längere Zugriffszeiten – Seriennummer notieren – Nicht nur Synchronisieren sondern auch Gerät sichern – Plan B: Kalender und Kontakte als Notreserve ausdrucken Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 31 Thema 4 Hacker Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 32 Thema 4 - Hacker Hilton-Hack T-Mobile-Server gehackt nicht Sidekick2 direkt 21. Februar 2005 Eminem wechselt Handynummer - Hacker stellen Adressbuch von Paris Hilton online Wollten Sie schon einmal mit Christia Aguilera telefonieren? Kein Problem, ihre Nummer wurde auf einer Website entdeckt, zusammen mit dem kompletten Adressbuch von Paris Hiltons Handy. Ein Hacker hatte die Daten erbeutet. Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 33 Thema 4 - Hacker Schnittstellen = Angriffspunkte »Bluetooth ↗ (Focus) »WLAN ↔ (WLAN-Security) »Infrarot ↓ (ungeeignet als Angriffspunkt) Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 34 Thema 4 - Hacker Bluetooth - Grundinformationen - Funktechnik 2,4 GHz Band (ISM-Band) Sendelesitunsg von <0.25 bis 100mW (Pout typisch: 1mW) unterstützt Quelle: Martin Herfurt www.trifinite.org • asynchronen Datenfluss (721/57 kbit/s asymmetrisch) • synchroner Datenfluss: 3 parallele Sprachkanäle bei 64 kbit/s - Version 1.0 im Juli 1999 Bluetooth Special Interest Group (SIG) kein Sichtkontakt notwendig Reichweite • Class 1: ~ 100m 40 dBm • Class 2: ~ 10m, 4 dBm (Standard) • Class 3: ~ 10cm, 0dBm - hohe Bandbreite (bis max. 1MBit) - Übertragung verschlüsselt - Bluetooth ist sicher, aber die Applikationen nicht! Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 35 Thema 4 - Hacker • Bluetooth - Angriffstechniken - BlueSnarf™ (Marcel Holtmann / Adam Laurie) BlueBug ™ (Martin Herfurt) HeloMoto ™ (Adam Laurie) Authentication abuse BlueSmack ™ BlueStab ™ BlueBump ™ BlueSnarf++ ™ BlueSpoof ™ BluePrinting ™ Bluetooone ™ BlueDump ™ Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 Quelle: Martin Herfurt www.trifinite.org 36 Thema 4 - Hacker Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 37 Thema 4 - Hacker Bluetooth - Reichweite Standard max. 10m John Hering mit seiner BlueSniperRifle: Reichweite: > 1 Meile (1,6 km) / Materialkosten 310,- U$ Bauanleitung siehe Google Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 38 Thema 5 Integration in Sicherheitskonzepte Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 39 Thema 5 - Integration in Sicherheitskonzepte • Abhängig von Unternehmensstruktur • Problematiken - eingebaute Kamera Sprachaufzeichnung WLAN & Bluetooth Speicherkapazität USER!!! • Berücksichtigen - interne Bedrohungen - externe Bedrohungen • Schriftliche Verhaltensrichtlinien Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 40 Thema 5 - Integration in Sicherheitskonzepte • Private Geräte erlauben? • Verschlüsselungssysteme integrieren • Mögliche Versicherung gegen Diebstahl • Datensicherungskonzepte!!! • Anti-Viren Programme • Sichere Verbindungen bei WLAN (nur WPA - WEP ist kein wirklicher Schutz!!!) Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 41 Danke für Ihre Aufmerksamkeit! Dominic Neumann (sevian7 IT development GmbH) www.sevian7.com Steirischer E-Day · 01.03.2007 42