Bedrohungen und Schutzmaßnahmen beim Einsatz von mobilen Endgeräten
Zukunftsstiftung Mobile Security
Version: 1.0Autor: D. Niedermaier,
T. KerblVerantwortlich: T. KerblDatum: 30. Juni 2009Vertraulichkeitsstufe: Öffentlich
Agenda
• Vorstellung SEC Consult
• Neue Angriffsvektoren für neue Technologien
• Die aktuelle Bedrohungslage
• Live-Demonstration von Angriffen• Spread out Malware via Bluetooth
• Hijack a cellphone
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
• Sicherer Einsatz von mobilen Endgeräten
2
SEC Consult – Advisor for your information security (1)
• Berater für Information Security
• Experte für die Einführung von Sicherheitsprozessen und Policies (ISO 27001, BS 25999, GSHB)
• Führend bei technischen Sicherheits-Audits und bei derUmsetzung
• Spezialist für Webapplikationssicherheit auf Basis A 7700
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
• Spezialist für Webapplikationssicherheit auf Basis A 7700
• Unabhängigkeit von Produktherstellern
• Behörden, Banken, Versicherungen, börsennotierte Unternehmen in Zentraleuropa als Kunden
• Branchenspezifische Ausrichtung (Defense, Public, Finance, Industry)
3
SEC Consult – Advisor for your information security (2)
• Gegründet 2002
• Zentrale in Wien
• Niederlassungen in Wiener Neustadt (Österreich), Frankfurt (Deutschland) und Montreal (Kanada)
• Fokus auf Zentraleuropa
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
• Fokus auf Zentraleuropa
• Eigenes „SEC Consult Vulnerability Lab“
• Partner:
4
Secure Systems Lab @
SEC Consult – Advisor for your information security (3)
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved5
… ist zertifiziert nach ISO 27001
Unsere Kunden -Aus Gründen der Geheimhaltung nur ein kleiner Auszug…
Österreich
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved6
Deutschland
Zertifizierungen (Auszug)
Unsere Mitarbeiter -International anerkannte Information Security Spezialisten
ISO 27001
Referenten auf globalen Konferenzen (Auszug)
Mitgestaltung internationaler Guidelines und
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
Fachpublikationen (Auszug)
7
ISO 27001 Lead Auditor
A 7700 AuditorMitgestaltung internationaler Guidelines und Standards (Auszug)
Agenda
• Vorstellung SEC Consult
• Neue Angriffsvektoren für neue Technologien
• Die aktuelle Bedrohungslage
• Live-Demonstration von Angriffen• Spread out Malware via Bluetooth
• Hijack a cellphone
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
• Sicherer Einsatz von mobilen Endgeräten
8
Neue Angriffsvektoren für neue Technologien
• Immer mehr Funktionsumfang bei mobilen Endgeräte• Funktionsumfang steigt in den letzten Jahren deutlich an; Handys ersetzen in vielen
Anwendungsfällen Laptops (mobiles E-Mail, etc.).
• Immer mehr und mehr vertrauliche Informationen auf mobilen Endgeräten.
• Dadurch entstehen neue Risiken
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
• Dadurch entstehen neue Risiken• Mehr Funktionalität (Bluetooth, WLAN, etc.) � größere Angriffsfläche
• Mehr vertrauliche Daten � interessanteres Angriffsziel
9
Neue Angriffsvektoren für neue Technologien
• Welche Angriffsflächen gibt es?
• Verlust/Diebstahl von Endgeräten (deutlich häufiger als bei Laptops)„… allein im Jahr 2005 in einem Zeitraum von sechs Monaten … in London 63.000 Handys und
5.800 PDAs in Taxis liegen gelassen.“[1]
• Interaktion mit anderen Geräten (E-Mail, MMS, etc. über verschiedene Kanäle wie WLAN, Bluetooth, UMTS/HSDPA, etc.)
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
WLAN, Bluetooth, UMTS/HSDPA, etc.)
• Awareness ist bei der Verwendung von mobilen Endgeräten bei weiten nicht so ausgeprägt wie bei PCs (Virenscanner/Firewalls auf PCs sind allgegenwärtig).
10
Quelle: [1] http://www.computerwoche.de/knowledge_center/security/1879630/
Neue Angriffsvektoren für neue Technologien
• Welchen Nutzen haben mobile Endgeräte für Angreifer?
• Verbreitungsgrad: Über 2 000 000 000 Mobiltelefone im Umlauf.
• Konnektivität: Vor allem immer mehr neue Geräte sind internetfähig.
• Profit: Dadurch werden mobile Geräte für Angreifer genau so interessant wie Computer. Alte Geschäftsmodelle lassen sich ohne viel Aufwand auf diese Technologie portieren.
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
Beispiele:
� SpamOverMobile – Infizierte Handys dienen zum Versenden von Spam-Mails.
� Mobile Botnets – Für Distributed Denial of Service (DDoS) Angriffe.
� Industriespionage – Informationen welche mobilen Geräte entwendet wurden, können für dritte von Interesse sein.
� Dailer Reloaded – Einwählprogramme, die zu Modemzeiten in Umlauf waren, werden wieder interessant.
11
Agenda
• Vorstellung SEC Consult
• Neue Angriffsvektoren für neue Technologien
• Die aktuelle Bedrohungslage
• Live-Demonstration von Angriffen• Spread out Malware via Bluetooth
• Hijack a cellphone
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
• Sicherer Einsatz von mobilen Endgeräten
12
Aktuelle Bedrohungslage
• Malware in the Wild!• SymbianOS dominiert den Markt.
• Mobile Malware (Schadsoftware) steckt funktional noch in den Kinderschuhen.
• Malware für verschiedene Plattformen schon seit längerem im Umlauf mit Funktionen wie
47%
14%
5%
2%
Mobile OS Marktverteilung
3.Quartal 2008
Symian OS
Apple
RIM
(Blackberry)
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
im Umlauf mit Funktionen wie� Löschen/Kopieren von Daten
� Deaktivieren des Geräts
� Versenden von Nachrichten an Mehrwertnummern
� etc.
• Bekanntes Beispiel: Wurm Cabir
13
47%
17%
15%
(Blackberry)
Microsoft
Linux
Andere
Quelle: http://www.canalys.com/pr/2008/r2008112.htm
Aktuelle Bedrohungslage – Verbreitungswege
• Konnektivität - Bluetooth• Übertragungstechnologie für Kurzdistanzen (1m bis max. 100m). Mobiltelefone meistens
nur max. 10m (Bluetooth Class II).
• Mobile Viren übertragen sich via Bluetooth wie Grippe � U-Bahn, Flughafen, etc.
• Hauptsächlich durch unbedachtes Handeln des Benutzers.
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved14
?Quellen: - Hypponen, Mikko: Malware Goes Mobile, Scientific American Inc., 2006
- www.who.int/csr/don/Map_20090605_1000.png
Aktuelle Bedrohungslage - Verbreitungswege
• Konnektivität – MMS/SMS• Übertragung von Mulitmediadaten oder Text möglich.
• Phishing: Benutzer erhält Nachricht mit einem Link auf eine Schadsoftware (z.B. getarnt als Spiel); Benutzer lädt Software und installiert diese.
• Virus versendet selbstständig an alle Telefonbucheinträge den schädlichen Link.
• Neue Empfänger erhalten Link aus vertrauenswürdiger Quelle.
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
• Konnektivität – WLAN• Telefon-Serviceprovider schützen Mobiltelefone zum Teil im Internet.
• Schutzmechanismen im WLAN nicht gegeben.
• Telefon „normaler“ ungeschützter Netzwerkteilnehmer.
• Risiken ähnlich wie bei PC‘s; offene Ports ermöglichen Zugriff auf nicht benötigte Dienste, etc.
15
Aktuelle Bedrohungslage - Verbreitungswege
• Ausbreitung über Bluetooth langsamer.
• MMS Malware ohne Distanzbegrenzung; dadurch weltweite Ausbreitung schnell möglich.
• WLAN spielt im Moment noch eine untergeordnete Roll e bei der Verbreitung.
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved16
Quelle: Wang, Pu, et al.:Understanding the Spreading Patterns of Mobile Phone Viruses, Science 324, 1071, 2009
Aktuelle Bedrohungslage
• Wie konkret ist die Bedrohung?• Security Research auf mobilen Geräten sehr schwierig.
• Aus diesem Grund noch vergleichsweise wenig Malware im Umlauf.
• 2006 waren 200 mobile Malwares bekannt; doppelt so viele 2008.
• SEC Consult Vulnerability Lab betreibt Research für SymbianOS >> erfolgreich
• Whitepaper „From 0 to 0Day on Symbian“ (Bernhard Müller, SEC Consult 06/2009) beschreibt Schwachstellen in Symbian OS.
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
� Lücken bei der Verarbeitung von Multimedia-Dateien
� Proof-of-Concept Bot
17
Quelle: http://www.f-secure.com/en_EMEA/security/security-lab/latest-threats/security-threat-summaries/2006-1.html
Agenda
• Vorstellung SEC Consult
• Neue Angriffsvektoren für neue Technologien
• Die aktuelle Bedrohungslage
• Live-Demonstration von Angriffen• Spread out Malware via Bluetooth
• Hijack a cellphone
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
• Sicherer Einsatz von mobilen Endgeräten
18
Spread out Malware via Bluetooth
• Wie funktioniert die Verteilung von Malware in der Praxis?• Bluetooth Gerät versucht Schadsoftware an andere Geräte im Empfangsbereich zu
senden (funktioniert ohne Authentifizierung).
• Benutzer muss Datei akzeptieren, wählt aber „NEIN“ aus und sperrt den Sender für zukünftige Anfragen.
• Sender ändert seine Bluetooth Adresse und sendet erneut an den Empfänger.
• Empfänger ist irgendwann genervt und drückt „JA“.
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
• Empfänger ist irgendwann genervt und drückt „JA“.
19
DEMO
Hijack a Cell Phone
• Wie kann die Kontrolle über ein Telefon übernommen werden?• Schadsoftware verbindet sich zu einem Server im Internet.
• Server befindet sich unter Kontrolle des Angreifers.
• Angreifer kann über diesen Server das Telefon kontrollieren.
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved20
DEMO
Agenda
• Vorstellung SEC Consult
• Neue Angriffsvektoren für neue Technologien
• Die aktuelle Bedrohungslage
• Live-Demonstration von Angriffen• Spread out Malware via Bluetooth
• Hijack a cellphone
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
• Sicherer Einsatz von mobilen Endgeräten
21
Sicherer Einsatz von Mobilen Geräten
• Wie kann ich mich gegen diese Gefahren schützen?• Awareness
– Dateien ausschließlich von vertrauenswürdigen Quellen annehmen.– Nur dann Dateien annehmen, wenn auch welche erwartet werden.– Vertrauenswürdige Informationen wenn möglich nicht auf mobilen Geräten
verwenden.
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
• Technische Schutzmaßnahmen– Auch für mobile Geräte sind Firewalls und Virenscanner verfügbar.– Dienste wie Bluetooth nur bei Gebrauch aktivieren.– Geräte zumindest mit PINs absichern.
22
Sicherer Einsatz von Mobilen Geräten
• Im Falle eines Angriffs?
• Bluetooth: Gerät ausschalten oder Bluetooth deaktivieren.
• Verlust: Software einsetzen die remote Daten löschen/sperren kann (z.B. durch Übertragung eines geheimen Schlüssels via SMS).
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
• Malware Befall : Software neu flashen.
23
Sicherer Einsatz von Mobilen Geräten
• Ausblick
• Malware
� Anzahl an Schadsoftware und Exploits für mobile Geräte wird steigen.
� Aggressivere Varianten als bisher bekannte sind zu erwarten.
• Awareness
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved
• Awareness
� Benutzer müssen lernen mit diesen neuen Bedrohungen umzugehen.
� Unternehmen müssen lernen gegen diese Bedrohungen vorzugehen (technische Maßnahmen, Policies, etc.).
24
Wie erreichen Sie SEC Consult?
SEC Consult Unternehmensberatung GmbH
Mooslackengasse 17 A-1190 Vienna
Österreich
Bockenheimer Landstrasse 17-19D-60325 Frankfurt am Main
Deutschland
© 2009 SEC Consult Unternehmensberatung GmbH - All rights reserved25
Austria
Tel: +43-(0)1-890 30 43-0Fax: +43-(0)1-890 30 43-15
Email: [email protected]
Germany
Tel: +49-69-710 455 512Fax: +49-69-710 455 450
Email: [email protected]