Security & Privacy op iOS devices NGN iPaddag 26 maart 2012
Bart Smith
Microsoft professional in december 2010 cold turkey over op de iPad
Security & Privacy op iOS devices
• Business models & Security • BYOD: de schrik van de security expert (& de jurist)
• Hoe werkt iPad security (niet) • Demo • Wat werkt wel? • Privacy • Literatuur & opleiding
Business model Apple Waarom maakt Apple de iPad? +Hardware Sales $20.358.000.000, 32.394.000.000 units (okt 2011) +30% van alle software verkoop AppStore $6.314.000.000 +30% van mobiel verkeer (AT&T) $2.819.000.000 = Totaal $29.491.440.00 Alles draait om de verkoop van hardware.
De Apple AppStore • • •
The Apple AppStore is enige plaats waar je software kunt krijgen Identificatie met je AppleID Onduidelijke en beperkende voorwaarden voor software ontwikkelaars $99 per jaar Apple bepaalt toelating Alle rechten komen aan Apple toe en Apple is aansprakelijk tot max $50 Ondoorzichtige acceptatie criteria voor Apps (en elke update) De beoordeling van de binaries ter acceptatie wordt “verkocht aan de klant” als verzekering van beveiliging en gebruikersgemak (security & usability) politieke, erotische of anderszins “ongeschikte” software, zoals strategisch ongewenste software, wordt afgewezen Risico: security updates kunnen soms 2 weken worden opgehouden (en potentieel afgewezen)
• • • • • • •
Google •
Doelstelling: data centralisatie en verzilveren van de gebruikers profielen
• • • • •
“We generate revenue primarily by delivering relevant, cost-effective online advertising” “We generate 96% of our revenue in 2010 from our advertisers” $29.321.000.000 inkomen, $28.236.000.000 uit advertenties $8.505.000.000 winst “As of January 31, 2011, Larry, Sergey, and Eric owned approximately 91% of our outstanding Class B common stock, representing approximately 67% of the voting power of our outstanding capital stock.”
• Vertrouwen van gebruikers is essentieel. • •Gratis producten zijn “Economische Gracht”
Voorkomen dat anderen de marktaandeel overnemen door gratis producten te leveren, waar anderen bedrijven kosten voor in rekening moeten brengen
Microsoft Winst komt uit beperkt aantal producten * + + + + + + =
Windows & Live $12.281.000.000 Office & Exchange $14.124.000.000 Servers, Support en Consulting $6.608.000.000 Xbox + Windows Phone $1.324.000.000 Online (Bing, msn, adCentre) verlies ($2.557.000.000) overhead kosten ($4.619.000.000) $27.161.000.000
•
“The Windows operating system faces competition from various commercial software products offered by well-established companies, mainly Apple and Google.”
•
“Apple may distribute certain versions of its application software products with various models of its PCs and through its mobile devices. ”
Partner ecosysteem voor advies, support & opleiding * MSFT_FY11Q4_10K.docx
En daar sta je dan als security expert • directie schaft 1000 iPads aan of wil zakelijke mail of intranet op privé iPad (BYOD)
• persoonsgegevens van medewerkers, klanten • koersgevoelige informatie, bedrijfsgeheimen • aansprakelijkheid, datalekken, schade, boetes, reputatie
Wetgeving • Wet bescherming persoonsgegevens (Wbp),
verantwoordelijke is aansprakelijk voor schade jegens data subjecten. • Wetsvoorstel melding datalekken, maximaal EUR 200.000 boete
• Binnen de uitvoering van de arbeidsovereenkomst is de werkgever aansprakelijk voor schade die de werknemer veroorzaakt (art 7:611 BW & 6:170) tenzij opzet of bewuste roekeloosheid
• In gewoon Nederlands: de baas is verantwoordelijk voor jouw stommiteiten.
Apple Waarom is Security geen top prio voor Apple?
• Past niet in business model (eindgebruikers) • Historisch veel winst uit verkoop van liedjes dmv Digital Rights Management DRM
iPad Security architectuur • •Standaard *nix (Mach + BSD) architectuur • •Extra sandbox “Seatbelt” • • Binaire code is ge-Signed • Address Space Layout Randomisation (ALSR) Kernel en User processen, slechts één niet-root gebruiker “mobile” Afscherming per applicatie beperking van debug mogelijkheden
en Data Execution Prevention (DEP)
Categorieën iPad beveiliging 1. device security: passcode, signed profiles 2. data security: bescherming bij diefstal en verlies: (remote) wipe, encryption, data protection 3. network security: vpn, ssl, wpa2 4. application protection: sandbox & application security Bron: Hacking and Securing iOS Applications, Jonathan Zdziarski, 2012, O’Reilly
Storage encryption • GID gedeeld door alle modelen van zelfde type • •UID is uniek per device • Sleutel Hiërarchie afhankelijk van deze sleutels • EMF! key voor HFS+ filesysteem • Dkey master encryption key voor bijna alles bestanden gebruikt. • Dkey is in wisbaar geheugen opgeslagen om GID & UID zijn niet afhankelijk van password
snel te kunnen “wipe” • FileSystem encryption vergelijkbaar met iTunes DRM, slot en sleutel naast elkaar opgeslagen
Storage encryption • Dkey master encryption key voor bijna alles bestanden gebruikt. • Dkey is in wisbaar geheugen opgeslagen om
snel te kunnen “wipe” • FileSystem encryption vergelijkbaar met iTunes DRM, slot en sleutel naast elkaar opgeslagen
• •BAGI • Dkey, EMF! & BAGI beschikbaar bij opstarten, voor keybag
ook indien iOS gestart van RAM
Sleutel opslaan bij het slot
Hoe snel kraak je een password?
bron: http://blog.agilebits.com/
Mythes • iOS file systeem beschermt tegen diefstal • Gebruikers die veiligheid belangrijk vinden, zullen een complex password gebruiken
Windows Tools • AD Helper (onveilig?) • Remote Desktop: iTap, FreeRDP • WebDAV tools, maken gebruikers home directory beschikbaar (private Cloud)
Good Enterprise Features:
• Preventing employees from forwarding corporate email
• Preventing employees from backing up data to iCloud
• Forcing a selective wipe in the event a user deletes their configuration profile.
http://www.good.com/support/gfe_ios5.php
Dropbox • Killer app • http://lifehacker.com/5794486/how-to-adda-second-layer-of-encryption-to-dropbox
Security: wat werkt wél • snel iOS updates verplichten • lange & complexe passwords • Exchange Rights Management Service RMS op CAS (!) • •
geen toegang Global Address List, maar bv. afdelingslijst
factor authentication: • twoGemalto Mobile OTP (op 2e device, bv iPhone)
• • • •
face recognition bv. mybioid.com ID-Tech smartcard met PKard for OWA andere als SMS, RSA, One-time-password mbv smartcard, etc
Security: wat werkt wél • Corporate applicaties die geen data opslaan op de iPad (HR, CRM)
• Applicaties die niet vertrouwen op iOS
encryptie. Extra beveiliging bovenop iOS.
•
Goodreader voor PDF stukken van ministers.
• •
iTap, Citrix
• Data via WebDAV ontsluiten, synchronisatie Desktop • Remote gebruikersonvriendelijk • Websites niet webapps, die lokaal data opslaan •
Privacy Tips & Trucs • nooit je echte geboortedatum geven • alleen adres geven in webshops, rest fictief • 2 browers bv iCabMobile en privacy mode in Safari •
• Gebruik privé MyFritzbox met App, ipv Dropbox • Password manager bv getstrip lite (free)
Vragen? Meer informatie: zie links op website ngn
2 daagse training: axolot.nl/ipadsecurity
