SlideShare une entreprise Scribd logo

Android smartphones und sicherheit

Digicomp Academy AG
Digicomp Academy AG
Technologie
1  sur  31
Télécharger pour lire hors ligne
Hacking Day 2012 – Future Security Android Smartphones und Sicherheit Tobias Ellenberger - COO & Co-Partner - OneConsult GmbH © 2012 OneConsult GmbH 14. Juni 2012 www.oneconsult.com
Agenda Agenda → Vorstellung → Android OS → Sicherheitsanalyse → Security Suites für Android → Fazit © 2012 OneConsult GmbH 2 www.oneconsult.com
Vorstellung Über mich → Tobias Ellenberger → Ausbildung als Mediamatiker → Stetige Weiterbildung in den Bereichen Security, Netzwerk, Microsoft → Seit 2002 in den Bereichen Consulting und Engineering tätig → COO & Co-Partner der OneConsult GmbH © 2012 OneConsult GmbH 3 www.oneconsult.com
Vorstellung OneConsult GmbH → IT Security Consulting & strategische Beratung → Kein Verkauf von Hard- und Software → Kunden ◦ Hunderte Unternehmen und Konzerne in Europa und Übersee ◦ tätig in allen Branchen → Kompetenz ◦ mehr als 500 technische Security Audits (davon 450 OSSTMM konform) ◦ Dutzende konzeptionelle Projekte → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Deutschland: Büro in München ◦ Österreich: Büro in Wien © 2012 OneConsult GmbH 4 www.oneconsult.com
Vorstellung Unsere Dienstleistungen → Security Audits → Incident Response ◦ Security Scan ◦ Emergency Response ◦ Penetration Test ◦ Computer Forensics ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering → Training & Coaching ◦ Conceptual Security Audit ◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning → Consulting ◦ Secure Software Development ◦ Strategy & Organisation ◦ Coaching ◦ Policies & Guidelines ◦ Processes & Documentation → Security as a Service ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management © 2012 OneConsult GmbH 5 www.oneconsult.com
Agenda Agenda → Vorstellung →Android OS → Sicherheitsanalyse → Security Suites für Android → Fazit © 2012 OneConsult GmbH 6 www.oneconsult.com
Android OS Was ist das Android OS? → Betriebssystem für mobile Endgeräte → Entwickelt von Google und Open Handset Alliance → Basierend auf Linux Kernel → Anwendungen werden mittels Java entwickelt → Anwendungen laufen in einer virtuellen Instanz → Bestehende Funktionen durch Applikationen erweitern → Grundlegende Sicherheitsfunktionen ◦ ...dazu später  © 2012 OneConsult GmbH 7 www.oneconsult.com
Android OS Android OS: Architektur Architekturdarstellung von Google © 2012 OneConsult GmbH 8 www.oneconsult.com
Android OS Android OS: Technischer Stand → Was wurde aus der „PC-OS-Vergangenheit“ gelernt? ◦ Sandboxing ◦ Least Privileges (Berechtigungskonzepte) ◦ Unterschiedliche Ansätze zwischen Android OS, iOS und Windows Phone › Open Source vs. Closed Source › Google Play, App Store etc. › Updatekonzepte Fazit: Die Security-Grundlagen und Erfahrungen sind in die Entwicklung mit eingeflossen… … unter Berücksichtigung der eigenen Interessen © 2012 OneConsult GmbH 9 www.oneconsult.com
Agenda Agenda → Vorstellung → Android OS →Sicherheitsanalyse → Security Suites für Android → Fazit © 2012 OneConsult GmbH 10 www.oneconsult.com
Sicherheitsanalyse Sicherheitsanalyse: Sicherheitsfunktionen... → Kernel → Sandboxing → Rechteverwaltung → Bildschirmsperre → Google Play – ex Android Market (Gtalk Service) → Faktor Mensch © 2012 OneConsult GmbH 11 www.oneconsult.com
Sicherheitsanalyse Sicherheitsanalyse: Kernel → Linux Kernel ja / nein? → Gut gepflegte Software (Analyse von Coverty) → Daraus folgt: Linux ist eine gute Basis für das Entwickeln eines sicheren Produktes → Jon Oberheide: «Schweizer Käse» ◦ Linux bietet eine hervorragende Angriffsfläche ◦ Praxis: z.B. Rooting © 2012 OneConsult GmbH 12 www.oneconsult.com
Sicherheitsanalyse Sicherheitsanalyse: Sandboxing → Prinzip: Applikation hat keinen Zugriff auf eine andere Anwendung oder auf das System → Bekannt von Linux und Windows (UAC) → Aber: ◦ Dateisystem › Ab Android 2.3 Ext4 (vorher YAFFS) › Auf SD-Karten FAT ◦ Shared User ID’s → Kleines Beispiel… ◦ Fun-Foto App (Zugriff Bilder) ◦ Game (Zugriff Internet für High-Score) © 2012 OneConsult GmbH 13 www.oneconsult.com
Sicherheitsanalyse Sicherheitsanalyse: Rechteverwaltung → Erlaubt Kommunikation zwischen Anwendungen → Aufweichen des Sicherheitsmechanismus → Vier Schutzstufen ◦ «normal» ◦ «dangerous» ◦ «signature» ◦ «signatureOrSystem» → Schwächen der Rechteverwaltung ◦ Es gibt nur JA oder NEIN ◦ Sehr global gefasste Berechtigungen › android.permission.INTERNET › android.permission.WRITE_EXTERNAL_STORAGE © 2012 OneConsult GmbH 14 www.oneconsult.com
Sicherheitsanalyse Sicherheitsanalyse: Bildschirmsperre → Passwort sinnvoll für den Schutz des Smartphones → Folgende Möglichkeiten: © 2012 OneConsult GmbH 15 www.oneconsult.com
Sicherheitsanalyse Sicherheitsanalyse: Google Play → Applikationen erweitern die Funktionen des Smartphones → Benutzerbasierte Kontrolle des Inhalts → Bouncer (Malwarekontrolle – seit 2011) ◦ Summercon Juni 2012 → Jeder kann für $25 Applikationen veröffentlichen (auch anonym) → Apps müssen signiert werden; selbst signiertes Zertifikat für den Benutzer-Account → Seit Februar 2011: Installation von Apps via Browser möglich © 2012 OneConsult GmbH 16 www.oneconsult.com
Sicherheitsanalyse …und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Beispiel: 23.01.2012 (http://www.heise.de/security/meldung/Linux- Root-Rechte-durch-Speicherzugriff-1419608.html) ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App) © 2012 OneConsult GmbH 17 www.oneconsult.com
Sicherheitsanalyse Android Hax (Funktion) Root Exploit http://jon.oberheide.org/rootstrap/index © 2012 OneConsult GmbH 18 www.oneconsult.com
Sicherheitsanalyse Android Hax (Verbreitung) → Über 200 Downloads in weniger als 24h → Reaktion: Remote Wipe © 2012 OneConsult GmbH 19 www.oneconsult.com
Sicherheitsanalyse …und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Aktuelles Beispiel: 23.01.2012 ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App) → Sandboxing ◦ Cross Application Scripting ◦ Shared User-ID → Rechteverwaltung ◦ Eigene Berechtigungen… © 2012 OneConsult GmbH 20 www.oneconsult.com
...und wie sie ausgenutzt werden Rechteverwaltung (Beispiel) (1) Password-Safe (2) Google Play (3)Password-Gen - Kein Internet - Top Rating - Internet Zugriff - pw.exchange - X Downloads - pw.exchange © 2012 OneConsult GmbH 21 www.oneconsult.com
Sicherheitsanalyse …und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Beispiel: 23.01.2012 ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App) → Sandboxing ◦ Cross Application Scripting → Rechteverwaltung ◦ Eigene Berechtigungen… ◦ «exported attribute» → Google Play (Gtalk Service) © 2012 OneConsult GmbH 22 www.oneconsult.com
Sicherheitsanalyse Google Play © 2012 OneConsult GmbH 23 www.oneconsult.com
Sicherheitsanalyse Google Play (Gtalk Service) → Apps werden nicht über die Google Play App installiert → Die App wird mittels C2DM-Server gepusht → Google hat mindestens folgende Funktionen zur Verfügung: ◦ INSTALL_ASSET (App installieren) ◦ REMOVE_ASSET (App entfernen) › Twilight Eclipse App › DroidDream-Trojaner → Was wenn jemand die Google Server «übernimmt» ?!? © 2012 OneConsult GmbH 24 www.oneconsult.com
Sicherheitsanalyse Sicherheitsanalyse: Faktor Mensch → «JA Klick» - Syndrom → «Ich will» - Syndrom → «KLDAZL» - Syndrom → «DGMNA» - Syndrom © 2012 OneConsult GmbH 25 www.oneconsult.com
Agenda Agenda → Über OneConsult GmbH & me → Android OS → Sicherheitsanalyse →Security Suites für Android → Fazit © 2012 OneConsult GmbH 26 www.oneconsult.com
Security Suites Security Suites → Hersteller ◦ Neue Hersteller z.B. Lookout spezialisiert auf Mobile Security ◦ Die meisten namhaften Hersteller von AV-Software für PC’s → Nutzen ◦ Schutz vor Malware, Phishing, Datenverlust und Diebstahl ◦ Erweiterte / zusätzliche Funktionen für das Smartphone → Funktionen ◦ Malware Scanner ◦ Backup & Locator Dienste ◦ Datenschutz ◦ Div. Sperr und Filterfunktionen © 2012 OneConsult GmbH 27 www.oneconsult.com
Security Suites Security Suites → Gegen was helfen Security Suites wirklich? ◦ Ergänzung der Schutzfunktionen vom Smartphone ◦ Erkennen von bestehenden / bekannten Gefahren → Was Security Suites nicht können ◦ Neue Angriffe erkennen ◦ «Intelligente» Angriffe verhindern ◦ Menschliches Verhalten ändern ◦ Entwickler sensibilisieren (Vergabe von Rechten) → Fazit: ◦ Sinnvolle Ergänzung zum Betriebssystem ◦ Falsches Sicherheitsgefühl ◦ Die bekannten AV-Hersteller sind bei den Tests vorne dabei © 2012 OneConsult GmbH 28 www.oneconsult.com
Agenda Agenda → Über OneConsult GmbH & me → Android OS → Sicherheitsanalyse → Security Suites für Android →Fazit © 2012 OneConsult GmbH 29 www.oneconsult.com
Fazit Fazit → Modernes Betriebssystem → Berücksichtigung von Sicherheitsaspekten → Es gilt zu beachten ◦ Attraktiv für Angriffe (Verbreitung, Daten) ◦ Langsame Updates / Automatische Updates ◦ Kein Vertrauen in Google Play → Eignet sich Android für den geschäftlichen Einsatz? ◦ Auch andere Smartphones haben Probleme  ◦ Mobile Device Management (MDM) ◦ Einschränken der Gerätetypen (Update Aufwand) → XMV © 2012 OneConsult GmbH 30 www.oneconsult.com
© 2012 OneConsult GmbH www.oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Tobias Ellenberger Mediamatiker EFZ, MCITP, OPST & OPSA COO & Co-Partner tobias.ellenberger@oneconsult.com +41 79 314 25 25 Hauptsitz Büro Deutschland Büro Österreich OneConsult GmbH Niederlassung der OneConsult GmbH Niederlassung der OneConsult GmbH Schützenstrasse 1 Karlstraße 35 Wienerbergstraße 11/12A 8800 Thalwil 80333 München 1100 Wien Schweiz Deutschland Österreich Tel +41 43 377 22 22 Tel +49 89 452 35 25 25 Tel +43 1 99460 64 69 Fax +41 43 377 22 77 Fax +49 89 452 35 21 10 Fax +43 1 99460 50 00 info@oneconsult.com info@oneconsult.de info@oneconsult.at © 2012 OneConsult GmbH www.oneconsult.com

Recommandé

Owasp mobile top 10
Owasp mobile top 10Owasp mobile top 10
Owasp mobile top 10
Digicomp Academy AG
 
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis
Digicomp Academy AG
 
Incident response
Incident responseIncident response
Incident response
Digicomp Academy AG
 
Android ppt
Android pptAndroid ppt
Android ppt
Govind Raj
 
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon Berlin
 
ESET - Drei Säulen der mobilen Sicherheit
ESET - Drei Säulen der mobilen SicherheitESET - Drei Säulen der mobilen Sicherheit
ESET - Drei Säulen der mobilen Sicherheit
ESET | Enjoy Safer Technology (Deutsch)
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
Sven Wohlgemuth
 
Digitaler Fußabdruck oder was Google über dich weiß
Digitaler Fußabdruck oder was Google über dich weißDigitaler Fußabdruck oder was Google über dich weiß
Digitaler Fußabdruck oder was Google über dich weiß
Let´s get it straight
 

Recommandé

Owasp mobile top 10
Owasp mobile top 10Owasp mobile top 10
Owasp mobile top 10
Digicomp Academy AG
 
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis
Digicomp Academy AG
 
Incident response
Incident responseIncident response
Incident response
Digicomp Academy AG
 
Android ppt
Android pptAndroid ppt
Android ppt
Govind Raj
 
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon Berlin
 
ESET - Drei Säulen der mobilen Sicherheit
ESET - Drei Säulen der mobilen SicherheitESET - Drei Säulen der mobilen Sicherheit
ESET - Drei Säulen der mobilen Sicherheit
ESET | Enjoy Safer Technology (Deutsch)
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
Sven Wohlgemuth
 
Digitaler Fußabdruck oder was Google über dich weiß
Digitaler Fußabdruck oder was Google über dich weißDigitaler Fußabdruck oder was Google über dich weiß
Digitaler Fußabdruck oder was Google über dich weiß
Let´s get it straight
 
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Digicomp Academy AG
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Digicomp Academy AG
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
Digicomp Academy AG
 
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
go4mobile ag
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
OPITZ CONSULTING Deutschland
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
Sven Bernhardt
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
ihrepartner.ch gmbh
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
go4mobile ag
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Fraunhofer Institute for Secure Information Technology
 
5 lukas ruf hacking in the cloud
5 lukas ruf hacking in the cloud5 lukas ruf hacking in the cloud
5 lukas ruf hacking in the cloud
Digicomp Academy AG
 
Android sicher
Android sicherAndroid sicher
Android sicher
KH F
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
Symposia 360°
 
Br fra-v1.2
Br fra-v1.2Br fra-v1.2
Br fra-v1.2
Bernd Rodler
 
Das Android Open Source Project
Das Android Open Source ProjectDas Android Open Source Project
Das Android Open Source Project
inovex GmbH
 
NETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own deviceNETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own device
NETFOX AG
 
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Large-Scale Product Owner @ XPDays Germany (5.10.2023)Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Pierluigi Pugliese
 
Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012
IKS Gesellschaft für Informations- und Kommunikationssysteme mbH
 
Bitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdf
Bitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdfBitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdf
Bitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdf
happychickensfarm service
 
Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!
AFF Group
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
OPITZ CONSULTING Deutschland
 
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
 

Contenu connexe

Similaire à Android smartphones und sicherheit

5 lukas ruf hacking in the cloud
5 lukas ruf hacking in the cloud5 lukas ruf hacking in the cloud
5 lukas ruf hacking in the cloud
Digicomp Academy AG
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
Symposia 360°
 
Das Android Open Source Project
Das Android Open Source ProjectDas Android Open Source Project
Das Android Open Source Project
inovex GmbH
 
NETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own deviceNETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own device
NETFOX AG
 

Similaire à Android smartphones und sicherheit (20)

Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
 
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
 
5 lukas ruf hacking in the cloud
5 lukas ruf hacking in the cloud5 lukas ruf hacking in the cloud
5 lukas ruf hacking in the cloud
 
Android sicher
Android sicherAndroid sicher
Android sicher
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
 
Br fra-v1.2
Br fra-v1.2Br fra-v1.2
Br fra-v1.2
 
Das Android Open Source Project
Das Android Open Source ProjectDas Android Open Source Project
Das Android Open Source Project
 
NETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own deviceNETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own device
 
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Large-Scale Product Owner @ XPDays Germany (5.10.2023)Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
 
Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012
 
Bitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdf
Bitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdfBitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdf
Bitdefender Total Security 2022 für Windows, macOS, iOS und Android.pdf
 
Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
 

Plus de Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
 

Plus de Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Android smartphones und sicherheit

  • 1. Hacking Day 2012 – Future Security Android Smartphones und Sicherheit Tobias Ellenberger - COO & Co-Partner - OneConsult GmbH © 2012 OneConsult GmbH 14. Juni 2012 www.oneconsult.com
  • 2. Agenda Agenda → Vorstellung → Android OS → Sicherheitsanalyse → Security Suites für Android → Fazit © 2012 OneConsult GmbH 2 www.oneconsult.com
  • 3. Vorstellung Über mich → Tobias Ellenberger → Ausbildung als Mediamatiker → Stetige Weiterbildung in den Bereichen Security, Netzwerk, Microsoft → Seit 2002 in den Bereichen Consulting und Engineering tätig → COO & Co-Partner der OneConsult GmbH © 2012 OneConsult GmbH 3 www.oneconsult.com
  • 4. Vorstellung OneConsult GmbH → IT Security Consulting & strategische Beratung → Kein Verkauf von Hard- und Software → Kunden ◦ Hunderte Unternehmen und Konzerne in Europa und Übersee ◦ tätig in allen Branchen → Kompetenz ◦ mehr als 500 technische Security Audits (davon 450 OSSTMM konform) ◦ Dutzende konzeptionelle Projekte → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Deutschland: Büro in München ◦ Österreich: Büro in Wien © 2012 OneConsult GmbH 4 www.oneconsult.com
  • 5. Vorstellung Unsere Dienstleistungen → Security Audits → Incident Response ◦ Security Scan ◦ Emergency Response ◦ Penetration Test ◦ Computer Forensics ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering → Training & Coaching ◦ Conceptual Security Audit ◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning → Consulting ◦ Secure Software Development ◦ Strategy & Organisation ◦ Coaching ◦ Policies & Guidelines ◦ Processes & Documentation → Security as a Service ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management © 2012 OneConsult GmbH 5 www.oneconsult.com
  • 6. Agenda Agenda → Vorstellung →Android OS → Sicherheitsanalyse → Security Suites für Android → Fazit © 2012 OneConsult GmbH 6 www.oneconsult.com
  • 7. Android OS Was ist das Android OS? → Betriebssystem für mobile Endgeräte → Entwickelt von Google und Open Handset Alliance → Basierend auf Linux Kernel → Anwendungen werden mittels Java entwickelt → Anwendungen laufen in einer virtuellen Instanz → Bestehende Funktionen durch Applikationen erweitern → Grundlegende Sicherheitsfunktionen ◦ ...dazu später  © 2012 OneConsult GmbH 7 www.oneconsult.com
  • 8. Android OS Android OS: Architektur Architekturdarstellung von Google © 2012 OneConsult GmbH 8 www.oneconsult.com
  • 9. Android OS Android OS: Technischer Stand → Was wurde aus der „PC-OS-Vergangenheit“ gelernt? ◦ Sandboxing ◦ Least Privileges (Berechtigungskonzepte) ◦ Unterschiedliche Ansätze zwischen Android OS, iOS und Windows Phone › Open Source vs. Closed Source › Google Play, App Store etc. › Updatekonzepte Fazit: Die Security-Grundlagen und Erfahrungen sind in die Entwicklung mit eingeflossen… … unter Berücksichtigung der eigenen Interessen © 2012 OneConsult GmbH 9 www.oneconsult.com
  • 10. Agenda Agenda → Vorstellung → Android OS →Sicherheitsanalyse → Security Suites für Android → Fazit © 2012 OneConsult GmbH 10 www.oneconsult.com
  • 11. Sicherheitsanalyse Sicherheitsanalyse: Sicherheitsfunktionen... → Kernel → Sandboxing → Rechteverwaltung → Bildschirmsperre → Google Play – ex Android Market (Gtalk Service) → Faktor Mensch © 2012 OneConsult GmbH 11 www.oneconsult.com
  • 12. Sicherheitsanalyse Sicherheitsanalyse: Kernel → Linux Kernel ja / nein? → Gut gepflegte Software (Analyse von Coverty) → Daraus folgt: Linux ist eine gute Basis für das Entwickeln eines sicheren Produktes → Jon Oberheide: «Schweizer Käse» ◦ Linux bietet eine hervorragende Angriffsfläche ◦ Praxis: z.B. Rooting © 2012 OneConsult GmbH 12 www.oneconsult.com
  • 13. Sicherheitsanalyse Sicherheitsanalyse: Sandboxing → Prinzip: Applikation hat keinen Zugriff auf eine andere Anwendung oder auf das System → Bekannt von Linux und Windows (UAC) → Aber: ◦ Dateisystem › Ab Android 2.3 Ext4 (vorher YAFFS) › Auf SD-Karten FAT ◦ Shared User ID’s → Kleines Beispiel… ◦ Fun-Foto App (Zugriff Bilder) ◦ Game (Zugriff Internet für High-Score) © 2012 OneConsult GmbH 13 www.oneconsult.com
  • 14. Sicherheitsanalyse Sicherheitsanalyse: Rechteverwaltung → Erlaubt Kommunikation zwischen Anwendungen → Aufweichen des Sicherheitsmechanismus → Vier Schutzstufen ◦ «normal» ◦ «dangerous» ◦ «signature» ◦ «signatureOrSystem» → Schwächen der Rechteverwaltung ◦ Es gibt nur JA oder NEIN ◦ Sehr global gefasste Berechtigungen › android.permission.INTERNET › android.permission.WRITE_EXTERNAL_STORAGE © 2012 OneConsult GmbH 14 www.oneconsult.com
  • 15. Sicherheitsanalyse Sicherheitsanalyse: Bildschirmsperre → Passwort sinnvoll für den Schutz des Smartphones → Folgende Möglichkeiten: © 2012 OneConsult GmbH 15 www.oneconsult.com
  • 16. Sicherheitsanalyse Sicherheitsanalyse: Google Play → Applikationen erweitern die Funktionen des Smartphones → Benutzerbasierte Kontrolle des Inhalts → Bouncer (Malwarekontrolle – seit 2011) ◦ Summercon Juni 2012 → Jeder kann für $25 Applikationen veröffentlichen (auch anonym) → Apps müssen signiert werden; selbst signiertes Zertifikat für den Benutzer-Account → Seit Februar 2011: Installation von Apps via Browser möglich © 2012 OneConsult GmbH 16 www.oneconsult.com
  • 17. Sicherheitsanalyse …und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Beispiel: 23.01.2012 (http://www.heise.de/security/meldung/Linux- Root-Rechte-durch-Speicherzugriff-1419608.html) ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App) © 2012 OneConsult GmbH 17 www.oneconsult.com
  • 18. Sicherheitsanalyse Android Hax (Funktion) Root Exploit http://jon.oberheide.org/rootstrap/index © 2012 OneConsult GmbH 18 www.oneconsult.com
  • 19. Sicherheitsanalyse Android Hax (Verbreitung) → Über 200 Downloads in weniger als 24h → Reaktion: Remote Wipe © 2012 OneConsult GmbH 19 www.oneconsult.com
  • 20. Sicherheitsanalyse …und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Aktuelles Beispiel: 23.01.2012 ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App) → Sandboxing ◦ Cross Application Scripting ◦ Shared User-ID → Rechteverwaltung ◦ Eigene Berechtigungen… © 2012 OneConsult GmbH 20 www.oneconsult.com
  • 21. ...und wie sie ausgenutzt werden Rechteverwaltung (Beispiel) (1) Password-Safe (2) Google Play (3)Password-Gen - Kein Internet - Top Rating - Internet Zugriff - pw.exchange - X Downloads - pw.exchange © 2012 OneConsult GmbH 21 www.oneconsult.com
  • 22. Sicherheitsanalyse …und wie sie ausgenutzt werden → Kernel ◦ Rooting (z.B. rage against the cage) › Beispiel: 23.01.2012 ◦ Anwendungsbeispiel: Android Hax von Jon Oberheide (Twilight:Eclipse App) → Sandboxing ◦ Cross Application Scripting → Rechteverwaltung ◦ Eigene Berechtigungen… ◦ «exported attribute» → Google Play (Gtalk Service) © 2012 OneConsult GmbH 22 www.oneconsult.com
  • 23. Sicherheitsanalyse Google Play © 2012 OneConsult GmbH 23 www.oneconsult.com
  • 24. Sicherheitsanalyse Google Play (Gtalk Service) → Apps werden nicht über die Google Play App installiert → Die App wird mittels C2DM-Server gepusht → Google hat mindestens folgende Funktionen zur Verfügung: ◦ INSTALL_ASSET (App installieren) ◦ REMOVE_ASSET (App entfernen) › Twilight Eclipse App › DroidDream-Trojaner → Was wenn jemand die Google Server «übernimmt» ?!? © 2012 OneConsult GmbH 24 www.oneconsult.com
  • 25. Sicherheitsanalyse Sicherheitsanalyse: Faktor Mensch → «JA Klick» - Syndrom → «Ich will» - Syndrom → «KLDAZL» - Syndrom → «DGMNA» - Syndrom © 2012 OneConsult GmbH 25 www.oneconsult.com
  • 26. Agenda Agenda → Über OneConsult GmbH & me → Android OS → Sicherheitsanalyse →Security Suites für Android → Fazit © 2012 OneConsult GmbH 26 www.oneconsult.com
  • 27. Security Suites Security Suites → Hersteller ◦ Neue Hersteller z.B. Lookout spezialisiert auf Mobile Security ◦ Die meisten namhaften Hersteller von AV-Software für PC’s → Nutzen ◦ Schutz vor Malware, Phishing, Datenverlust und Diebstahl ◦ Erweiterte / zusätzliche Funktionen für das Smartphone → Funktionen ◦ Malware Scanner ◦ Backup & Locator Dienste ◦ Datenschutz ◦ Div. Sperr und Filterfunktionen © 2012 OneConsult GmbH 27 www.oneconsult.com
  • 28. Security Suites Security Suites → Gegen was helfen Security Suites wirklich? ◦ Ergänzung der Schutzfunktionen vom Smartphone ◦ Erkennen von bestehenden / bekannten Gefahren → Was Security Suites nicht können ◦ Neue Angriffe erkennen ◦ «Intelligente» Angriffe verhindern ◦ Menschliches Verhalten ändern ◦ Entwickler sensibilisieren (Vergabe von Rechten) → Fazit: ◦ Sinnvolle Ergänzung zum Betriebssystem ◦ Falsches Sicherheitsgefühl ◦ Die bekannten AV-Hersteller sind bei den Tests vorne dabei © 2012 OneConsult GmbH 28 www.oneconsult.com
  • 29. Agenda Agenda → Über OneConsult GmbH & me → Android OS → Sicherheitsanalyse → Security Suites für Android →Fazit © 2012 OneConsult GmbH 29 www.oneconsult.com
  • 30. Fazit Fazit → Modernes Betriebssystem → Berücksichtigung von Sicherheitsaspekten → Es gilt zu beachten ◦ Attraktiv für Angriffe (Verbreitung, Daten) ◦ Langsame Updates / Automatische Updates ◦ Kein Vertrauen in Google Play → Eignet sich Android für den geschäftlichen Einsatz? ◦ Auch andere Smartphones haben Probleme  ◦ Mobile Device Management (MDM) ◦ Einschränken der Gerätetypen (Update Aufwand) → XMV © 2012 OneConsult GmbH 30 www.oneconsult.com
  • 31. © 2012 OneConsult GmbH www.oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Tobias Ellenberger Mediamatiker EFZ, MCITP, OPST & OPSA COO & Co-Partner tobias.ellenberger@oneconsult.com +41 79 314 25 25 Hauptsitz Büro Deutschland Büro Österreich OneConsult GmbH Niederlassung der OneConsult GmbH Niederlassung der OneConsult GmbH Schützenstrasse 1 Karlstraße 35 Wienerbergstraße 11/12A 8800 Thalwil 80333 München 1100 Wien Schweiz Deutschland Österreich Tel +41 43 377 22 22 Tel +49 89 452 35 25 25 Tel +43 1 99460 64 69 Fax +41 43 377 22 77 Fax +49 89 452 35 21 10 Fax +43 1 99460 50 00 info@oneconsult.com info@oneconsult.de info@oneconsult.at © 2012 OneConsult GmbH www.oneconsult.com