View
2
Download
0
Category
Preview:
Citation preview
Agenda
• Einführung
• Technische Grundlagen
• Integrierte Schutzfunktionen
• Bedrohungen
• Sicherheitsmaßnahmen
• Zentrale Verwaltungswerkzeuge
• Zusammenfassung
Referent
• Ronny Sackmann
– IT-Sicherheitsberater
– cirosec GmbH
• Schwerpunkte der Tätigkeit
– Sicherheitsüberprüfungen, Penetrationstests
– Network Access Control
– Privileged Identity Management
– iPhone/iPad-Sicherheit
– Schulung HE Gegenmaßnahmen
Typische Anwendungsszenarien
• Mobile Nutzung von PIM-Funktionen
– Email, Kalender, Kontakte
– Notizen, Aufgaben (ggf. Zusatz App)
• Mobile Nutzung von Business Applikationen
– SAP, CRM, Projektmanagement
– etc.
• Voice Recorder, Surfen, Wetterbericht, Aktienkurse, Navigation
• Restaurantführer, Spiele, …
• usw.
Unternehmensnetz
Infrastruktur
Applikationsserver
Mailserver
Firewall
AccessPoint
GSM /UMTS
ÖffentlicherHot Spot
Mobil-funknetz
DMZ
WLAN
Firewall Firewall
WLAN
Proxy
VPNKonzentrator
Konsequenzen
• Sensitive Unternehmensinformationen werden
– über potentiell unsichere Netzwerke übertragen
– und oftmals lokal auf dem Gerät gespeichert
• Zugangswege ins Unternehmensnetz (WLAN, VPN, ActiveSync etc.) werden
– für das iPhone und iPad freigeschaltet
– lokal auf dem Gerät gespeichert
Was wird noch gespeichert?
<string>http://www.heise.de/</string>
<key>lastVisitedDate</key><string>305536673.6</string>
<key>VisitCount</key><integer>1</integer>
Hardware
Model iPhone3G
iPhone3GS
iPhone4
iPad
ProzessorSamsung ARM RISC (412 MHz)
Samsung ARM Cortex-A8 (600 MHz)
Apple A4ARM Cortex-A8(1 GHz)
Apple A4ARM Cortex-A8(1 GHz)
Baseband X-Gold 608 X-Gold 608 X-Gold 618 X-Gold 608
RAM 128 MB 265 MB 512 MB 256 MB
Speicher 8/16 GB 8/16/32 GB 16/32 GB 16/32/64 GB
Betriebssystem
• Anwendungsprozessor: iOS
– Für den mobile Einsatz angepasstes Mac OS X
– Ursprünglich für das iPhone entwickelt
– Um zusätzliche Funktionen wie Multi-Touch erweitert
• Baseband:
– iPhone 3G, 3GS: Nucleus
– iPhone 4: ThreadX
Datenspeicher
• Solid State Disk (NAND-Flash)
• Dateisystem HFS+
• Zwei logische Partitionen
– Systempartition (read-only)
– Userpartition
Systempartition
• Systempartition enthält das Betriebssystem, Bibliotheken und vorinstallierte Anwendungen
– Dienste (BlueTooth, Upnp, …)
– Standard-Apps (Safari, Mail, Taschenrechner, …)
– etc.
• Im Betrieb nur lesender Zugriff möglich
• Schreibzugriff nur temporär im Rahmen von Firmware Upgrades
Userpartition
• Speichert sämtliche Benutzerdaten und nachträglich installierte Anwendungen– Fotos, Videos, Musik …
– Einstellungen, Bookmarks …
– Apps
• Daten werden vorwiegend in SQLite-Datenbanken gespeichert
• Für Benutzer und Apps begrenzt schreibbar (Sandbox-Mechanismus)
Keychain
• Passwort-Managementsystem von Apple
• Einzelne Anwendungen können Daten in der Keychain ablegen
• Daten werden in einer SQLite-Datenbank gespeichert – keychain-2.db
• Daten innerhalb der Keychain sind seit iOS 4 durch die Data Protection geschützt
Sicherheitsmechanismen
• Kombination von Sicherheitsmechanismen zum Schutz gegen Code Injection und „Fehlfunktionen“ von Apps
– eXute Never-Bit (XN-Bit)
– Code Signing
– Sandbox-Mechanismus
– ABER: kein ASRL(Address Space Layout Randomization)
XN-Bit
• Hardwareseitiger Schutz für ARM-Architekturen um die Ausnutzung von Softwareschwachstellen zu erschweren
• XN-Bit markiert Stack und Heap als nicht ausführbar
• Zusätzlich wird sichergestellt, dass keine Speicherseiten RWX-Berechtigungen besitzen(W^X Policy)
• Code Injection nicht einfach möglich
Code Signing
• Alle Programme und Bibliotheken müssen zur Ausführung auf dem iPhone / iPad mit einem Zertifikat von Apple signiert sein
• Signatur wird bei jedem Start von Programmen / Laden von Bibliotheken überprüft
• Es wird nur von Apple signierter Code ausgeführt
Sandbox-Mechanismus
• Mandatory Access Control (MAC)basierend auf TrustedBSD Framework
• Seatbelt Kernel Extension (vergleichbar mit Linux Security Module)
• Limitierung des Zugriffs auf bestimmte Systemressourcen
– Dateisystem, Netzwerk etc.
• Isolation von Anwendungen
ASLR
• Address Space Layout Randomization
• Adressbereiche des Speichers werden zufällig vergeben
• Technik um die Ausnutzung von Softwareschwachstellen zu erschweren
• Auf dem iPhone / iPad nicht implementiert
Folge …
• Aufgrund fehlender Speicherverwürfelung(ASLR) können Softwareschwachstellen mittels „Return Oriented Programming“-Technik ausgenutzt werden
• Beispiele:
– Safari-Exploit von Ralf Philipp Weinmann und Vincenzo Iozzo
– Userland-Jailbreak in Version 4.0.1
Folge …
• Aufgrund fehlender Speicherverwürfelung(ASLR) können Schwachstellen mittels „Return Oriented Programming“-Technik ausgenutzt werden
• Beispiele:
– Safari-Exploit von Ralf Philipp Weinmann und Vincenzo Iozzo
– Userland-Jailbreak in Version 4.0.1
Folge ...
• Aufgrund fehlender Speicherverwürfelung(ASLR) können Schwachstellen mittels „Return Oriented Programming“-Technik ausgenutzt werden
• Beispiele:
– Safari-Exploit von Ralf Philipp Weinmann und Vincenzo Iozzo
– Userland-Jailbreak in Version 4.0.1
Apple Data Protection
• Eingeführt mit iOS 4
• Verschlüsselung von
– Solid State Disk
– Anwendungsdaten
– Keychaindaten
Verschlüsselung des Datenträgers
• Hardwarebasierte Verschlüsselung der Solid State Disk (SSD)
• AES 256-Bit Verschlüsselungsalgorithmus
• Transparente Verschlüsselung
– Keine Pre-Boot Authentisierung
Zur Laufzeit stehen die Daten im Klartext zur Verfügung
– Auch für Spionage Apps / Schadcode / RAMDisk
Data Protection in iOS 4
• Verfügbar auf dem
– iPhone 3GS, iPhone 4, iPad
• Verschlüsselung von
– Emails, Email-Anhängen
– Keychain-Daten
– Eigenen Anwendungsdaten mittels API
Data Protection in iOS 4
• Bei Vergabe einer Codesperre aktiv
• Passcode des Benutzer fließt in Schlüsselberechnung mit ein
• Während des Bootvorgangs und im gesperrten Zustand sind die Daten verschlüsselt
• Mehr Infos: Apple WWDC 2010, Session 209
Beispiele für Schwachstellen in 2010
Zugriff auf Benutzerdaten per USB durch Race Conditon
Ausführen beliebigen Codes durch präparierte HTML-Seite
Ausführen beliebigen Codes durch präparierte JPEGs
Ausführen beliebigen Codes im Rahmen des URL-Handling
DMZ
Mitlesen der Kommunikation
Unternehmensnetz
Applikationsserver
Mailserver
Firewall
ÖffentlicherHot Spot
Firewall Firewall
WLAN
Proxy
VPNKonzentrator
Dateinamen auf dem Apple-Gerät?
• Apple Backupdatenbank manifest.mbdb
WirelessDomain-Library/CallHistory/call_history.db
HomeDomain-Library/SMS/sms.db
Technische Mindestanforderungen
• Hardware:
– Mind. iPhone 3GS, iPhone 4, iPad
– Begründung: AES-Verschlüsselung
• Software:
– iOS 4 oder neuer
– Begründung: Data Protection, Mobile Device Mangement
Verschlüsselung von Daten
• Derzeit nur Daten der iPhoneMail-Applikation
• Verschlüsselung eigener Daten muss explizit aktiviert werden:
– Verwendung der Apple Data Protection API
– Implementierung eigener Verschlüsselung
Verschlüsselung von Backups
• Auf Wunsch speichert iTunes die Backups verschlüsselt– AES mit 256 Bit Schlüssel
• Verschlüsselung erfolgt mit Hilfe eines Benutzerpassworts
Sicherheit abhängig vom Kennwort
• Zahlreiche Tools zum Knacken der Passwörter verfügbar– Elcomsoft Phone Password Breaker
Verschlüsselung von Backups
• Auf Wunsch speichert iTunes die Backups verschlüsselt– AES128 mit 256 Bit Schlüssel
• Verschlüsselung erfolgt mit Hilfe eines Benutzerpassworts
Sicherheit abhängig vom Kennwort
• Zahlreiche Tools zum Knacken der Passwörter verfügbar– Elcomsoft Phone Password Breaker
Softwareaktualisierungen
• Betriebssystem
– Kein Update Service wie bei Mac OS X
– Vollständiges Firmware-Upgrade
– Erfordert den Anschluss an einen PC mit aktuellem iTunes
• Anwendungen
– Mittels Apple App-Store
– Mobile Device Management
Selbstverständlich sollte sein…
• Verschlüsselung der Kommunikation
• Starke Authentifizierung
• Schutz der Netzwerkzugänge
• Härtung exponierter Systeme
• …
Management Schnittstellen
• Konfigurationsprofile
• Zukünftig
– Mobile Device Management
• Sinnvollste Umsetzung:
– Dritt-Produkte
• Microsoft Exchange ActiveSync
Konfigurationsprofile
• XML-Dateien zur Beschreibung der Gerätekonfiguration
– Zugriffsschutz, Zertifikate, Email, etc
• Profile werden offline mit Hilfe eines Konfigurationsprogramms erstellt
• Distribution der Profile
– Drahtlos: Email, SMS, Webbrowser
– Drahtgebunden: USB
• Signierung und Verschlüsselung möglich
Konfigurationsprofile
• XML-Dateien zur Beschreibung der Gerätekonfiguration
– Zugriffsschutz, Zertifikate, Email, etc
• Profile werden offline mit Hilfe eines Konfigurationsprogramms erstellt
• Distribution der Profile
– Drahtlos: Email, SMS, Webbrowser
– Drahtgebunden: USB
• Signierung und Verschlüsselung möglich
Zusammenfassung
• Apple bietet mit iOS 4 zahlreiche Schutzfunktionen und Sicherheits-maßnahmen
• Zentrales Management mit iOS 4
• Verbleibende Herausforderungen– Verschlüsselung von Anwendungsdaten
– Verschlüsselung von Backups
– Patch-Management
Quellen
• developer.apple.com
• Apple Patente– US 2009/0257595
– US 2009/0258660
• Apple WWDC 2010, Session 209
• iPhone App Programming Guide
• iPhone in Business / iPad in Business
• iPhone Security / iPad Security
• The iPhone Wiki, http://theiphonewiki.com
• iPhone Dev Wiki, http://iphonedevwiki.net
Recommended