Forskningsnet konferencen 2011 Smartphones og sociale medier 15. November 2011 Comwell Klarskovgaard, Korsør Tonny Bjørn, DK-CERT Email: tonny.bjorn@uni-c.dk
Agenda DK-CERT Vores rolle i samfundet Internettruslerne Smartphones Sociale netværkssider (Facebook) 2
Lad os begynde (med et par berømte citater) 3
Citater Citater (det er relevant :) Erfaring er det navn vi giver vores fejltagelser Oscar Wilde I skak er der forskel på at være spiller og brik. Sådan er det også med it-sikkerhed Ukendt oprindelse. Lettere omskrevet af DK-CERT ansat i dagens anledning Det er svært at spå især om fremtiden Storm P? NEJ! NEJ!, det var ikke Storm P. Han er blevet tillagt dette citat og det er med tiden blevet en sandhed. 4
Og lige en mere 640K ought to be enough for anybody... I've said some stupid things and some wrong things, but not that. No one involved in computers would ever say that a certain amount of memory is enough for all time I keep bumping into that silly quotation attributed to me that says 640K of memory is enough. There's never a citation; the quotation just floats like a rumor, repeated again and again. 5
Hvis du kunne redde én personlig ting ud af et brændende hus, hvad ville det så være? 6
Svar: 23 procent siger deres smartphone Kilde: Lookout Mobile Security, 9. november 2011 baseret på 1.000 brugeres svar i UK 7
Hvad er de (be be)skattede ting på ens telefon? Kilde: Lookout Mobile Security, 9. november 2011 baseret på 1.000 brugeres svar i UK 8
Lidt fakta Ved udgangen af første halvår 2010 var der i alt 7,6 millioner mobilabonnementer i Danmark Kilde: IT- og Telestyrelsen, Telestatistik - første halvår 2010 Ved udgangen af første halvår 2011 var der 4.036.000 abonnementer til mobilt bredbånd i Danmark Kilde: IT- og Telestyrelsen, Telestatistik - første halvår 2011 Der var mere end 5,3 milliarder mobilabonnenter på verdensbasis, svarende til 77 procent af verdens befolkning (oktober 2010) Kilde: The International Telecommunication Union Over 1,5 millioner danskere har i dag en smartphone Kilde: Gallup, Juni 2011 I slutningen af 2012 vil der være flere mobilabonnenter end der er mennesker på jorden Kilde: Wireless Intelligence, 2011 9
Pointe Pointe (med fokus på smartphones) Smartphones er en succes på grund af, at de samler det bedste fra to verdener (telefoni og den personlige computer) i én samlet enhed. Alt sammen i lommestørrelse. Den tekniske udvikling har medført, at de nyere Smartphones er næsten lige så kraftige som Netbooks og billige Laptops. Denne udvikling forsætter på fuld kraft. Antallet af applikationer (apps) er steget eksplosivt. De dækker alt fra leg og lær for børn, personlig kontakt over Sociale Medier til hardcore forretningsapplikationer. De bliver tungere efterhånden som platformen bliver kraftigere. Der er opstået en ny branche omkring smartphones, hvor vi endnu kun har set toppen af det økonomiske isbjerg. 10
Pointe Pointe (med fokus på smartphones) Summeret : Eksplosiv udvikling: Billigere abonnementer, hurtigere mobilnetværk og lavere priser på enheder Mobilitet: Du kan have den med alle steder. Funktionalitet: Ring, sms, mms, internet, social medier, e-mail, kontakt generelt, handel med flere Økonomi: Salg og udvikling af smartphones, udvikling af apps, handel på internetshops, betalingsmiddel. Kapacitet: Den generelle regnekraft øges løbende. De stærkeste har i dag Dual-Core 1 Giga Herz processorer og 1 megabyte RAM (tænk nu pc ens udvilingsproces ind i billedet). Teknologimæssigt set mangler vi blot det sidste link som fuldender den lavine der er sat i gang. Den såkaldte: 11
Nirvana Phone (kort) Den såkaldte Nivana Phone er blot den næste logiske skridt. Den har en næsten matchende kapacitet som en typisk kontor pc og kan tilkobles eksterne enheder så som skærm, tastatur, mus og lignende. Eventuelt ved hjælp af en docking-station. Kravet til sikkerhed bliver endnu mere nødvendigt. Lad os lære af fortiden! 12
Smartphone salgsfordeling Kilde: nielsenwire, 3. november 2011 13
Android udråbt til mål #1 Google: Android was designed with developers in mind. Security controls were designed to reduce the burden on developers. Security-savvy developers can easily work with and rely on flexible security controls. Developers less familiar with security will be protected by safe defaults. Application Sandbox: The Android system assigns a unique user ID (UID) to each Android application and runs it as that user in a separate process. System Partition and Safe Mode: The system partition contains Android's kernel as well as the operating system libraries, application runtime, application framework, and applications. This partition is set to read-only. When a user boots the device into Safe Mode, only core Android applications are available. 14
Android udråbt til mål #1 (fortsat, 2/4) Filesystem Permissions: In a UNIX-style environment, filesystem permissions ensure that one user cannot alter or read another user's files. Each application runs as its own user. Unless the developer explicitly exposes files to other applications, files created by one app cannot be read or altered by another app. Filesystem Encryption: Android 3.0 and later provides full filesystem encryption, so all user data can be encrypted in the kernel using the dmcrypt implementation of AES128 with CBC and ESSIV:SHA256. The encryption key is protected by AES128 using a key derived from the user password, preventing unauthorized access to data without the user device password. To provide resistance against systematic password attacks, the password is combined with a random salt and hashed repeatedly with SHA1 15
Android udråbt til mål #1 (fortsat, 3/4) Password Protection: Android can be configured to verify a usersupplied password prior to providing access to a device. In addition to preventing unauthorized use of the device, this password protects the cryptographic key for full filesystem encryption. Memory Management Security Enhancements: The Android SDK, compilers, and OS use tools to make common memory corruption issues significantly harder to exploit, including: Hardware-based No execute to prevent code execution on the stack and heap ProPolice to prevent stack buffer overruns. Safe_iop to reduce integer overflows. Extensions to OpenBSD dlmalloc to prevent double free() vulnerabilities and to prevent chunk consolidation attacks. Linux mmap_min_addr() to mitigate null pointer dereference privilege escalation. 16
Android udråbt til mål #1 (fortsat, 4/4) Android Application Security: By default, an Android application can only access a limited range of system resources. The system manages Android application access to resources that, if used incorrectly or maliciously, could adversely impact the user experience, the network, or data on the device. The sensitive APIs are intended for use by trusted applications and protected through a security mechanism known as Permissions. These resources are only accessible through the operating system. To make use of the protected APIs on the device, an application must define the capabilities it needs in its manifest. In an app attempts to use a protected feature which has not been declared in the application's manifest, the permission failure will typically result in a security exception being thrown back to the app. 17
Android udråbt til mål #1 meeen... Der er tænkt sikkerhed ind i Android. Det springende punkt er tættest på brugeren altså deres applikationer. En applikation kan ikke tilgå et API (med adgang til Netværk, GPS, Bluetooth, Telefon, SMS/MMS, Mail m.fl.) uden det er angivet i dennes AndroidManifest.xml fil. AndroidManifest.xml kan beskrives som en firewall for den givne applikation. Er rettigheden ikke sat - så er det pr definition deny. Da Android har sikkerhedsforanstaltninger indbygget, er det primært de udviklede apps som er kritiske for brugerne! 18
19
Permission eksempler: android.permission.internet: Burde egentlig hedde SOCKET frem for INTERNET. Ordet internet klinger mere af http/https adgang (altså browsing). Men i praksis åbner denne regel op for alle protokoller, adresser og porte. android.permission.send_sms Giver en applikation mulighed for uhindret at sende SMS beskeder. Herunder til overtakserede tjenester! android.permission.call_phone Giver en applikation muligheden for at foretage opkald uden brugeren notificeres via det normale ring op interface. Herunder til udlandet eller overtakserede tjenester. 20
Konkret eksempel: 21
Konkret eksempel (Blackjack Blackjack): FIN (GPS) PLACERING: Få adgang til fine placeringskilder, som GPS på enheden, vor det er tilgængeligt. FULD INTERNETADGANG: Tillader, at en applikation opretter netværksforbindelse. LÆS KONTAKTDATA: Tillader, at en applikation læser alle kontaktdata, der er gemt på din enhed. LÆS TELEFONTILSTAND OG IDENTITET: Tillader, at applikationen får adgang til enhedens telefonfunktioner. En applikation kan med denne tilladelse registrere en telefons telefon- og serienummer, om et opkald er aktivt, nummeret som opkaldet er forbundet til osv. HENT KØRENDE APPLIKATIONER: finder private oplysninger om andre applikationer. OPDAG KENDTE KONTI: Tillader, at en applikation henter listen over konti, der er kendt af enheden. REDIGER/SLET USB/SD-KORT KORT-INDHOLD INDHOLD: Tillader, at applikationen skriver til USBhukommelsen. Tillader, at applikationen skriver til SD-kortet. SKIFT WI-FI FI-TILSTAND TILSTAND: Tillader, at en applikation opretter og afbryder forbindelsen fra Wi- Fi-adgangspunkter og foretager ændringer i konfigurerede Wi-Fi-netværk. 22
Din smartphone 23
24
Eksempel på banktrojaner (Zitmo) Kilde: Trusteer
Er Smartphones en trussel? Ja, Smartphones bliver lige så stor en trussel som ubeskyttede computere. Specielt Smartphones der giver brugere mulighed for installation af (tredjeparts) apps. Smartphones skal også indgå i sikkerhedspolitikken. Brugere skal have større viden og kendskab til truslerne mod Smartphones. 26
Smartphone sikkerhed hvad kan du gøre? (1/3) Installerer du selv apps på den, så vær opmærksom på hvad du installerer. Læs evt. reviews inden installation. Er din smartphone hacket -> jailbreaked, så vær ekstra opmærksom på uautoriserede apps inden installation. (gælder også Android). Adgang til din smartphone. Du har pinkode til simkortet, men adgang til selve telefonen skal også være beskyttet med en kode. Screenlocks. Din smartphone skal pr automatik låse efter noget tid (et til fem minutter). 27
Smartphone sikkerhed hvad kan du gøre? (2/3) Brug Bluetooth med omhu. Skal du ikke bruge Bluetooth, så sluk den. Du sparer i øvrigt også batteri. Adgang til firma-mail, kalender og kontakter skal være godt beskyttet. Klik ikke på ukendte links fra mails eller andet. Samme regler gælder på din smartphone som på din computer. Har du mulighed for kryptering af data på smartphonen, så gør det. Dette gælder specielt data på hukommelseskort. 28
Smartphone sikkerhed hvad kan du gøre? (3/3) Der findes flere antivirusløsninger til smartphones fra anerkendte producenter som bør installeres. Vær opmærksom på korrekt brug af apps som f.eks Dropbox (data i skyen). Din sunde fornuft 29
Smartphone sikkerhed den nære fremtid BizzTrust BizzTrust det bedste fra to verdener! Tyske Fraunhofer Institute for Secure Information Technology har udviklet denne Android version der opdeler enheden i: - Forretningsområdet: Låst og sikret. - Privatområdet: Tillader det samme som i dag. Protection by high encryption of business data No restrictions for private use Secure enterprise communication (encryption) Remote management and update Supports bring-your-own-device strategy Automatic policy enforcement Fremvist 11. oktober på it-sa messen i Tyskland. www.sit.fraunhofer.de/en/media/news/20111007-2cellphones.html 30
Facebook 31
Facebook sikkerhed 32
33
Facebook sikkerhed Mafia Wars ("spillet" som spammer brugernes Wall) Falsk Facebook virus, (som kun kan fjernes med (det falske) Antivirus produkt der er linket til. Antivirus-produktet overtager pc en efter installation.) Inficerede videoer (mails med links til kode som skader pc en.) FB konti hacket (Fra den hackede Facebook konto sendes mail til ven fra vennelisten, om at der skal sendes penge. (haste haste) Koobface. Den farligste af dem alle. Udsender mails til falsk Facebook side. Installerer farlige programmer på brugerens pc. Skaber botnet, bruger keylogger til opsamling af kreditkortnumre osv., 34
Facebook sikkerhed 35
Facebook hvad kan du gøre for at beskytte dig? (1/3) Lad vær med at tilføje unødvendigt mange applikationer. Brug statusfeltet med eftertanke. Vær specielt opmærksom på opdateringer om fremtidige aktiviteter. Skriv ikke følsomme informationer på walls og lign. Vær opmærksom på billederne du oploader og hvad der er på billederne. Tilføj ikke hvem som helst som ven, og få kategoriseret vennerne. 36
Facebook hvad kan du gøre for at beskytte dig? (2/3) Er du klar over hvor beskyttet din profil er? Hvor meget kan man se af din profil, uden at være ven med dig? Meld dig ikke ind i unødvendigt mange grupper, og vær særlig opmærksom på henvisninger til eksterne sites fra grupperne. En ven som beder som penge, fordi man i udlandet har mistet sin pung/bagage/mobil mv. dobbelttjek ved f.eks. at snakke med din ven inden du gør noget. Stærk adgangskode. Sørg for at logge helt af når du forlader computeren. At lukke browseren, uden at logge af, holder ikke. (gælder alt). 37
Facebook hvad kan du gøre for at beskytte dig? (3/3) Pas på apps som via din Smartphones GPS automatisk fortæller hvorfra du logger på Facebook. Sikkerhedsmekanisme hvilken enhed logger du på fra er god og vil røbe, hvis andre logger på din Facebook fra en anden enhed. Begivenheder du tilmelder dig, kan også røbe hvor du vil befinde dig henne i fremtiden. Sidst men ikke mindst: Brug din sunde fornuft 38
Facebook hvad ved fjæsen egentlig om dig? https://www.facebook.com/help/?faq=212802592074644&hloc=da_dk 39
Opsummering af udfordringerne nu og frem Et billede siger mere end 1.000 ord 40
Tak for opmærksomheden! Tonny Bjørn Email: tonny.bjorn@uni-c.dk DK-CERT