Samsung fordert Apple und Blackberry im Geschäftskundenbereich
Transcrição
Samsung fordert Apple und Blackberry im Geschäftskundenbereich
Samsung fordert Apple und Blackberry im Geschäftskundenbereich heraus Samsung bringt mit KNOX als erster Hersteller eine ernst zu nehmende Sicherheitsplattform für Android auf den Markt mit dem Ziel das Machtverhältnis zwischen Apple, Blackberry und Google im Geschäftskundenbereich auszugleichen. KNOX verwendet Sicherheitsmodule wie Secure-Boot, TIMA (TrustZone based Integrity Measurement Architecture) und SE for Android (Security Enhancements), welche bis tief in die Hardware verankert sind und vollständige Immunität gegenüber Hackerangriffen versprechen. KNOX stellt gemeinsam mit Samsungs SAFE über 474 IT-Policies und über 1034 MDM-API’s zur Verfügung. So wie der jüngst erschienene Konkurrent iOS 7 verfügt auch KNOX über essentielle Merkmale wie Enterprise SSO (Single Sign On), diverse DLP-Funktionen (Data Loss Prevention) wie AppContainerization und intelligente Netzwerklösungen wie Per App VPN. Googles Betriebssystem Android verfügt im 3. Quartal 2013 über einen Marktanteil von 81% weltweit. Diese Zahl bezieht sich jedoch grösstenteils auf den Privatkundensektor, da Android aktuell keine zufriedenstellenden Geschäftskundenlösungen integriert. Samsung als populärster Smartphonehersteller mit 35% Marktanteil weltweit im 3. Quartal 2013 hat daher entschieden, eine hauseigene Sicherheitsplattform zu entwerfen, um Android im Geschäftskundenbereich konkurrenzfähig zu machen. KNOX ist bereits als lauffähige Version verfügbar, jedoch sind Android-Versionen bis und mit 4.3 (Jelly Bean) noch nicht auf die ressourcenintensiven Dienste optimiert. Wegen der resultierenden Reduktion der Akkulaufzeit ist KNOX nur beschränkt einsetzbar. Laut Samsung wird KNOX in Kombination mit Android 4.4 wesentlich ressourcenschonender operieren und voll einsatzfähig sein. Im Vergleich mit iOS 7 zeigen sich verschiedene Differenzierungsmerkmale von KNOX. Während iOS 7 auf der ganzen Apple-Produktepalette verfügbar ist und durchwegs die gleichen MDMFähigkeiten aufweist, ist KNOX aktuell lediglich auf High-End-Geräten wie dem Galaxy S4 verfügbar. mehr… Weitere Unterschiede sind, dass die Enterprise Edition Lizenz von KNOX gegen go4mobile ag Stauffacherstrasse 72 3014 Bern www.go4mobile.ch eine monatliche Gebühr vergeben wird und Samsung KNOX zusätzlich auf dem Gerät installiert werden muss. Im Gegensatz dazu sind bei iOS 7 die MDMKomponenten kostenlos in der Grundausführung des Betriebssystems enthalten. mehr… Das Sicherheitskonzept von KNOX ist im Gegensatz zu iOS 7 hardwareseitig mit zusätzlichen Schutzmechanismen ausgerüstet. Samsung verspricht dadurch jeden Betriebszustand des Gerätes, vom Bootvorgang bis zur Ausführung einer Geschäfts-App vor möglichen Angriffen zu schützen. Zunächst wird der Boot-Vorgang durch die Secure Boot-Technologie überwacht, die sicherstellt, dass keine unautorisier- Telefon: +41 (0) 31 914 18 18 Fax: +41 (0) 31 914 18 19 [email protected] ten Betriebssysteme oder Softwarekomponenten geladen werden. mehr… Um die Integrität des Systems auch nach dem Bootvorgang zu gewährleisten, wird in einem zweiten Schritt TIMA (TrustZone based Integrity Measurement Architecture) aktiv, die periodisch den Kernel und den Bootloader überprüft. mehr… Entdeckt Secure-Boot oder TIMA einen nicht authentifizierten Kernel oder Bootloader, wird hardwareseitig das KNOX Warranty Void Bit irreversibel von 0 auf 1 ‚gebrannt‘ und dadurch der KNOX-Teil des Gerätes dauerhaft unbrauchbar gemacht. mehr… Im Weiteren verwendet KNOX SE for Android um bestehende Sicherheitslücken im Betriebssystem zu schliessen. Dabei handelt es sich um ein Custom ROM, welches im Wesentlichen den Zugriffskontrollstandard DAC (Discretionary Access Control) mit dem um einiges restriktiveren Zugriffskontrollsystem MAC (Mandatory Access Control) ersetzt. mehr… KNOX aktiviert zudem standardmässig ODE (On-Device Encryption) auf dem internen Speicher sowie auf der externen SD-Card. mehr… Der KNOX App-Container ist eine virtuelle Android-Umgebung mit einem eigenen Home Screen, Launcher, Apps und Widgets. Er trennt auf Basis des MAC sichere Geschäfts-Apps und digital signierte Drittanbieter-Apps von benutzerseitig installierten Apps aus dem Google Play Store. Zudem isoliert der App-Container Geschäftsdaten von persönlichen Daten und verhindert einen Austausch zwischen diesen beiden Bereichen. Um die Sicherheit des App-Containers nicht durch Installationen von schädlichen oder infizierten Apps zu kompromittieren, müssen alle Apps, die nicht bereits als Enterprise-Version verfügbar sind, go4mobile ag Stauffacherstrasse 72 3014 Bern www.go4mobile.ch zunächst über ein online verfügbares Cloud-Werkzeug gewrappt werden. mehr… Um den Datenaustausch mit dem Firmennetzwerk optimal abzusichern, verfügt der App-Container zudem über einen Per App VPN Dienst, der bis zu fünf simultane VPN-Tunnel erlaubt. mehr… Auf Verwaltungsseite ist KNOX mit verschiedenen MDM-Lösungen wie MobileIron oder Air-Watch kompatibel. Überraschenderweise ist jedoch die Enterprise SSO-Funktion nicht direkt in die Architektur von Samsung KNOX integriert und muss durch die MDM-Software gewährleistet werden. Centrify bietet zurzeit als einziger Hersteller eine MDM-Lösung an, welche SSO in Verbindung mit KNOX ermöglicht. Dies bringt mit sich, dass bei allen anderen MDM-Lösungen beim Starten von Apps, welche auf das Firmennetzwerk zugreifen, Passwörter manuell abgefragt werden müssen. In der Summe geht KNOX einen Schritt weiter als iOS 7 und verunmöglicht mit seiner hardwarebasierten Sicherheitsarchitektur und dem erweiterten Betriebssystem SE for Android alle aktuell bekannten ROOT-Hacks. Indessen ist es auf Apple-Geräten unter iOS 7 nach wie vor möglich, Jailbreaks anzuwenden, was das OS schwächt und das Potential für Missbrauch deutlich erhöht. Andererseits ist dieser Mehrwert getrübt durch einen massiven Eingriff in die Hardware. Der Einsatz des KNOX Warranty Void Bits hat zur Folge, dass durch unsachgemässe Handhabung Teile des Gerätes oder sogar das ganze Gerät unbrauchbar werden kann. Schliesslich drängt sich die Frage auf, ob dieses KNOX Bit in Zukunft nicht auch ein Ziel von Hackerangriffen werden könnte. Telefon: +41 (0) 31 914 18 18 Fax: +41 (0) 31 914 18 19 [email protected] Zusatzinformationen KNOX-aktivierte Geräte - Aktuell ist Samsung KNOX auf folgenden Android-Smartphones aktivierbar: Galaxy S4, Galaxy S4 LTE-A, Galaxy S4 Mini, Galaxy Note 3, Galaxy Note 2, Note 10.1 2014 Edition, Galaxy Round und Galaxy Mega 6.3. Das Erscheinen weiterer KNOXtauglicher Geräte wurde bereits angekündet. Durch die Beschränkung von KNOX auf einen Teil der Produktelinie ist für Samsung die Gefahr der Fragmentierung gegeben. In Zukunft wird es einerseits ältere oder billigere Geräte geben, welche nur über die standardmässigen MDM-Komponenten von Android verfügen, aber lediglich die SAFE Policies unterstützen und andererseits eine neue Generation von Geräten, welche SAFE und KNOX unterstützen. zurück… Installation - Die Grösse des Installationspaketes von KNOX beträgt ungefähr 200MB und wird vom MDM-Administrator nach der Anmeldung am Geschäftsnetzwerk auf dem Gerät zur manuellen Installation freigegeben. zurück… Personal Edition - Die Personal Edition von KNOX wird von Samsung gratis zur Verfügung gestellt und ermöglicht es auch Privatpersonen, KNOX auf ihren Geräten zu aktivieren und für den verbesserten Schutz privater Daten zu verwenden. Der Unterschied zwischen der Enterprise und der Personal Edition ist, dass Letztere nicht an ein MDM-System angebunden ist. zurück… Bootvorgang - Um den Bootvorgang sicherzustellen sind Bootloader, Kernel und Systemsoftware kryptographisch signiert. Ein sicheres Hash-Tag dieser Zertifikate ist fest in einem Read-Only Memory (ROM) eingebrannt und wird beim Bootvorgang mit den SoftwareZertifikaten verglichen. zurück… TIMA – Die TrustZone based Integrity Measurement Architecture ist ein Überwachungsprozess, der in der ARM-TrustZone-Hardware integriert ist und in einem abgeschotteten Bereich des Arbeitsspeichers operiert. Das TIMA-Modul überwacht während dem Betrieb die Integrität des Bootloaders und des Kernels durch einen periodischen Vergleich mit kryptografischen Fingerabdrücken, sogenannten Measurements, die während dem Bootvorgang erstellt werden. Bei der Detektion unautorisierter Veränderungen werden automatisch Massnahmen eingeleitet, die den Mobile Management Policies entsprechen. zurück… KNOX Warranty Void Bit - Wird ein nicht autorisierter Kernel entdeckt, stuft Secure-Boot oder TIMA den Inhalt des KNOX App-Containers als gefährdet ein und löst das setzen des Warranty Void Bits aus. Dabei wird ein Bit in einem e-Fuse-Chip im Gerät irreversibel von 0 auf 1 ‚gebrannt‘. Dies hat zur Folge, dass KNOX entweder nicht mehr auf dem Gerät installiert werden kann oder, falls bereits installiert, nicht mehr verwendet werden kann. Dadurch geht auch der Zugriff auf die verschlüsselten Apps und Daten im App-Container verloren. Es ist laut Samsung möglich, dass die gesamten Hardware-Konfigurationsdaten auf dem eFuse-Chip überschrieben werden und so das ganze Gerät unbrauchbar wird. zurück… SE Android - Das Custom ROM SE for Android wurde ursprünglich im Jahr 2000 von der US National Security Agency (NSA) für Linux entwickelt (SE Linux). Unter dem standardmässigen Zugriffskontrollsystem DAC ist es möglich, auf gerooteten Geräten Apps mit privilegiergo4mobile ag Stauffacherstrasse 72 3014 Bern www.go4mobile.ch Telefon: +41 (0) 31 914 18 18 Fax: +41 (0) 31 914 18 19 [email protected] ten Superuser-Rechten zu starten. Schädliche Software kann so vollen Zugriff auf das Gerät und die darauf enthaltenen Daten erlangen. MAC hingegen partitioniert das System in verschiedene, vollständig getrennte Sicherheitsbereiche. In jeder Domäne wird den Apps lediglich das Minimum an Rechten erteilt, dass sie zum Betrieb benötigen. Dadurch wird der potentielle Schaden, den eine App verursachen kann, stark begrenzt. Selbst wenn ein neuer Root-Hack entdeckt würde, wäre das Ausmass des potentiellen Schadens begrenzt, da auch Apps, die als Superuser gestartet werden, Subjekte des MAC sind. zurück… Verschlüsselung - KNOX verwendet einen NIST FIPS 140-2 zertifizierten 256-bit AES Verschlüsselungsalgorithmus (AES-256). Der IT-Administrator kann via Policies definieren, ob nur die Daten im KNOX App-Container oder auch die Daten im privaten Bereich verschlüsselt werden sollen. Der App-Container verwendet in jedem Fall ein strikt vom privaten Teil isoliertes Dateisystem, welches separat und mit einem eigenen Key verschlüsselt wird. zurück… App-Wrapping - Beim App-Wrapping wird der Originalcode der App in einem Sicherheitscode eingebettet und mit einem neuen Zertifikat versehen, welches notwendig ist, um im KNOX App-Container operieren zu können. Die zu wrappenden Apps werden zunächst über den Samsung KNOX Account in den Wrapping-Service geladen. Während des WrapProzesses werden die Apps auf Malware oder risikobehaftetes Verhalten untersucht und zudem die Funktionalität und Gerätekompatibilität getestet. zurück… Per App VPN - KNOX VPN Client-Profile werden durch das Unternehmen im MDM-System definiert und können pro App varieren. Außerdem kann das Unternehmen festlegen, welche Apps innerhalb des App-Containers VPN verwenden dürfen und welche nicht. Der VPNTunnel wird automatisch gestartet, wenn der Benutzer eine autorisierte App ausführt. Der persönliche Datenstrom wird durch diese intelligente VPN-Lösung zudem effizient vom Geschäftsdatenstrom getrennt und das Firmennetzwerk so wesentlich entlastet. zurück… go4mobile ag Stauffacherstrasse 72 3014 Bern www.go4mobile.ch Telefon: +41 (0) 31 914 18 18 Fax: +41 (0) 31 914 18 19 [email protected]