Keynote: Gevaren van zowel het GSM als het Wi-Fi netwerk Roel Bierens Pieter Westein
Roel Bierens Roel Bierens is een cyber security professional die gespecialiseerd is op het gebied van mobile security en application protection. Naast zijn normale werkzaamheden kan Roel gevonden worden bij hackathons, CTFs en andere technische events.
Pieter Westein Pieter Westein is een cyber security professional die gespecialiseerd is op het gebied van penetratie testen op infrastructuur en (mobiele) applicatie niveau. Naast zijn normale werkzaamheden neemt Pieter ook deel aan CTF events, zoals de Global CyberLympics.
De mobiele revolutie
Aantal connecties (mld.) EXPERTS LIVE Het gebruik van mobiele apparaten wordt elk jaar meer 9 8 7 6 5 4 3 2 1 Aantal mobiele connecties over de hele wereld (2008 tot 2016) 7,52 7,06 6,74 6,38 5,99 5,33 4,63 7,91 0 2009 2010 2011 2012 2013 2014 2015 2016 Jaar
Ook het aantal applicaties wat voor mobiele apparaten wordt ontwikkeld wordt elk jaar meer 1800000 1600000 1400000 1200000 1000000 800000 600000 400000 200000 0 2011 2012 2013 2014 2015 Apple App Store Google Play Store Windows Store
Ook worden applicaties gebruikt voor gevoelige data b
Hierdoor worden mobiele apparaten en applicaties interessant voor aanvallers Bekende malware voorbeelden 189K 36K 34K 40K 299K 1 januari, 2014 januari februari maart 31 maart, 2014
Real life scenario #1
De aanval Backend Server Attacker User
3 security niveaus Geen encryptie Encryptie, maar geen certificate pinning Encryptie en certificate pinning
Niet veilig Hier is de data Hallo, ik wil graag toegang tot de data Backend Server User Attacker
Een beetje veilig Hallo, mag ik je public key? Hier is mijn public key Hallo, ik wil graag toegang tot de data Backend Server Hier is de data Hallo, ik ben de backend server en hier is mijn public key User Attacker
Vrij veilig Hallo, mag ik jou public key? Hier is mijn public key Backend Server Hallo, ik ben de backend server en hier is mijn public key User Attacker
Demo #1
Het beveiligen van een applicatie
Beveiliging van een applicatie Encryptie SSL pinning Authenticatie Via een gebruikersnaam en een One-Time Password (OTP) die verstuurd wordt per SMS.
Is dit veilig?
Tekstberichten worden vaker gebruikt voor gevoelige gegevens Vlucht details Authenticatie codes Bankafschriften Wachtwoorden
Hoe worden tekst berichten verstuurd? SMSjes worden verstuurd via base stations Base station Gebruiker GSM base stations kunnen gespoofd worden BladeRF Gebruiker
Twee manieren om mobiele gegevens te onderscheppen Encrypted Based on GMS Base Station Versleuteld Aanval op base station Unencrypted Downgrade attack Passief Weak encryption methods Active Downgrade attacks
Demo #2
However. Gebruik van rogue base stations is verboden Telecom maatschappijen monitoren actief Alleen bedoeld voor politie
SMS berichten zijn niet onveilig Als eerste zou een aanvaller de gebruikersnaam moeten raden. Daarna zal de aanvaller de OTP moeten onderscheppen die in het SMS bericht staat.
Vragen?
Next session 14:45 15:30 uur Close your datacenter and give your users wings! Robert van der Zwan & Stefan van der Wiele
Next session 14:45 15:30 uur Microsoft & cross-platform: a story of penguins and whales Maarten Goet