Security & Privacy op ios devices NGN ipaddag 26 maart 2012 Bart Smith Microsoft professional in december 2010 cold turkey over op de ipad
Security & Privacy op ios devices Business models & Security BYOD: de schrik van de security expert (& de jurist) Hoe werkt ipad security (niet) Demo Wat werkt wel? Privacy Literatuur & opleiding
Business model Apple Waarom maakt Apple de ipad? +Hardware Sales $20.358.000.000, 32.394.000.000 units (okt 2011) +30% van alle software verkoop AppStore $6.314.000.000 +30% van mobiel verkeer (AT&T) $2.819.000.000 = Totaal $29.491.440.00 Alles draait om de verkoop van hardware.
De Apple AppStore The Apple AppStore is enige plaats waar je software kunt krijgen Identificatie met je AppleID Onduidelijke en beperkende voorwaarden voor software ontwikkelaars $99 per jaar Apple bepaalt toelating Alle rechten komen aan Apple toe en Apple is aansprakelijk tot max $50 Ondoorzichtige acceptatie criteria voor Apps (en elke update) De beoordeling van de binaries ter acceptatie wordt verkocht aan de klant als verzekering van beveiliging en gebruikersgemak (security & usability) politieke, erotische of anderszins ongeschikte software, zoals strategisch ongewenste software, wordt afgewezen Risico: security updates kunnen soms 2 weken worden opgehouden (en potentieel afgewezen)
Google Doelstelling: data centralisatie en verzilveren van de gebruikers profielen We generate revenue primarily by delivering relevant, cost-effective online advertising We generate 96% of our revenue in 2010 from our advertisers $29.321.000.000 inkomen, $28.236.000.000 uit advertenties $8.505.000.000 winst As of January 31, 2011, Larry, Sergey, and Eric owned approximately 91% of our outstanding Class B common stock, representing approximately 67% of the voting power of our outstanding capital stock. Vertrouwen van gebruikers is essentieel. Gratis producten zijn Economische Gracht Voorkomen dat anderen de marktaandeel overnemen door gratis producten te leveren, waar anderen bedrijven kosten voor in rekening moeten brengen
Microsoft Winst komt uit beperkt aantal producten * + Windows & Live $12.281.000.000 + Office & Exchange $14.124.000.000 + Servers, Support en Consulting $6.608.000.000 + Xbox + Windows Phone $1.324.000.000 + Online (Bing, msn, adcentre) verlies ($2.557.000.000) + overhead kosten ($4.619.000.000) = $27.161.000.000 The Windows operating system faces competition from various commercial software products offered by well-established companies, mainly Apple and Google. Apple may distribute certain versions of its application software products with various models of its PCs and through its mobile devices. Partner ecosysteem voor advies, support & opleiding * MSFT_FY11Q4_10K.docx
En daar sta je dan als security expert directie schaft 1000 ipads aan of wil zakelijke mail of intranet op privé ipad (BYOD) persoonsgegevens van medewerkers, klanten koersgevoelige informatie, bedrijfsgeheimen aansprakelijkheid, datalekken, schade, boetes, reputatie
Wetgeving Wet bescherming persoonsgegevens (Wbp), verantwoordelijke is aansprakelijk voor schade jegens data subjecten. Wetsvoorstel melding datalekken, maximaal EUR 200.000 boete Binnen de uitvoering van de arbeidsovereenkomst is de werkgever aansprakelijk voor schade die de werknemer veroorzaakt (art 7:611 BW & 6:170) tenzij opzet of bewuste roekeloosheid In gewoon Nederlands: de baas is verantwoordelijk voor jouw stommiteiten.
Apple Waarom is Security geen top prio voor Apple? Past niet in business model (eindgebruikers) Historisch veel winst uit verkoop van liedjes dmv Digital Rights Management DRM
ipad Security architectuur Standaard *nix (Mach + BSD) architectuur Kernel en User processen, slechts één niet-root gebruiker mobile Extra sandbox Seatbelt Afscherming per applicatie beperking van debug mogelijkheden Binaire code is ge-signed Address Space Layout Randomisation (ALSR) en Data Execution Prevention (DEP)
Categorieën ipad beveiliging 1. device security: passcode, signed profiles 2. data security: bescherming bij diefstal en verlies: (remote) wipe, encryption, data protection 3. network security: vpn, ssl, wpa2 4. application protection: sandbox & application security Bron: Hacking and Securing ios Applications, Jonathan Zdziarski, 2012, O Reilly
Storage encryption GID gedeeld door alle modelen van zelfde type UID is uniek per device GID & UID zijn niet afhankelijk van password Sleutel Hiërarchie afhankelijk van deze sleutels EMF! key voor HFS+ filesysteem Dkey master encryption key voor bijna alles bestanden gebruikt. Dkey is in wisbaar geheugen opgeslagen om snel te kunnen wipe FileSystem encryption vergelijkbaar met itunes DRM, slot en sleutel naast elkaar opgeslagen
Storage encryption Dkey master encryption key voor bijna alles bestanden gebruikt. Dkey is in wisbaar geheugen opgeslagen om snel te kunnen wipe FileSystem encryption vergelijkbaar met itunes DRM, slot en sleutel naast elkaar opgeslagen BAGI voor keybag Dkey, EMF! & BAGI beschikbaar bij opstarten, ook indien ios gestart van RAM Sleutel opslaan bij het slot
Hoe snel kraak je een password? bron: http://blog.agilebits.com/
Mythes ios file systeem beschermt tegen diefstal Gebruikers die veiligheid belangrijk vinden, zullen een complex password gebruiken
Windows Tools AD Helper (onveilig?) Remote Desktop: itap, FreeRDP WebDAV tools, maken gebruikers home directory beschikbaar (private Cloud)
Good Enterprise Features: Preventing employees from forwarding corporate email Preventing employees from backing up data to icloud Forcing a selective wipe in the event a user deletes their configuration profile. http://www.good.com/support/gfe_ios5.php
Dropbox Killer app http://lifehacker.com/5794486/how-to-adda-second-layer-of-encryption-to-dropbox
Security: wat werkt wél snel ios updates verplichten lange & complexe passwords Exchange Rights Management Service RMS op CAS (!) geen toegang Global Address List, maar bv. afdelingslijst two factor authentication: Gemalto Mobile OTP (op 2e device, bv iphone) face recognition bv. mybioid.com ID-Tech smartcard met PKard for OWA andere als SMS, RSA, One-time-password mbv smartcard, etc
Security: wat werkt wél Corporate applicaties die geen data opslaan op de ipad (HR, CRM) Applicaties die niet vertrouwen op ios encryptie. Extra beveiliging bovenop ios. Goodreader voor PDF stukken van ministers. Data via WebDAV ontsluiten, synchronisatie Remote Desktop gebruikersonvriendelijk itap, Citrix Websites niet webapps, die lokaal data opslaan
Privacy Tips & Trucs nooit je echte geboortedatum geven alleen adres geven in webshops, rest fictief 2 browers bv icabmobile en privacy mode in Safari Gebruik privé MyFritzbox met App, ipv Dropbox Password manager bv getstrip lite (free)
Vragen? Meer informatie: zie links op website ngn 2 daagse training: axolot.nl/ipadsecurity