Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Mobil eszközök biztonsága

KiadtaElemér Juhász Megváltozta több, mint 9 éve

Hasonló előadás

Az előadások a következő témára: "Mobil eszközök biztonsága"— Előadás másolata:

1 Mobil eszközök biztonsága
Krasznay Csaba Kancellár.hu Kft.

2 Bevezetés A mobil eszközök használata mindennapos dolog az összes cégnél. Gondoljunk csak a mobiltelefonokra, a PDA-kra, az okostelefonokra, az ezekhez tartozó memóriakártyákra, és a hasonló eszközökre. Annak ellenére, hogy ezek az eszközök is számtalan vállalati adatot tartalmaznak, szinte soha nem gondolnak arra, hogy erre a területre is kidolgozzanak biztonsági szabályokat. A következő 25 percben bemutatjuk, hogy miért hibás ez a gondolkodás.

3 A mobil eszközöket fenyegető veszélyek
A mobil eszközök biztonsága három ponton kritikus: A géphez való idegen fizikai hozzáférés: a kisméretű gépeket a legkönnyebb elveszíteni illetve ellopni. Tárolt adatokhoz való idegen hozzáférés: minél több adat van egy gépen, annál nagyobb a valószínűsége, hogy érzékeny adat is van köztük. Vezetéknélküli hálózatokhoz való hozzáférés: egy hordozható eszköz legkönnyebben vezeték nélkül tud csatlakozni az informatikai környezetéhez.

4 A géphez való idegen fizikai hozzáférés
Lopás, elvesztés: A becslések szerint évente több százezer mobiltelefon és kéziszámítógép tűnik el a jogos tulajdonosoktól. A dolgozók egyharmada hagyja üzleti adatait védtelenül a PDA-ján. Nagy többségük mind személyes (pl. bankkártya PIN kód), mind üzleti (pl. hálózati jelszó) adatait rátölti a masinára. Az elvesztés helye 40%-ban a taxi, további 20%-ban kocsmák és night clubok. Ez becslések szerint az Egyesült Királyságban 1,3 milliárd Ł veszteséget okoz évente. (Forrás: Pointsec PDA Usage Survey 2003)

5 A géphez való idegen fizikai hozzáférés
Biztonsági mentés: Az eszközök ellopása/elvesztése után a rajta tárolt adatok is elvesznek. Különösen pikáns a helyzet a PDA-knál azért, mert az adatok a gép RAM-jában vannak tárolva, mely a tápellátás megszűnésekor törlődik. Ezért vannak a memóriakártyák, melyek innentől a kézigépek integráns részei, azaz rájuk is alkalmazni kell minden biztonsági szabályt. Egyébként a használt telefonokkal foglalkozó kereskedők néha kincseket találnak a hozzájuk kerülő eszközökön.

6 Tárolt adatokhoz való idegen hozzáférés
Ki a személyes eszköz tulajdonosa? Minél kisebb egy eszköz, a dolgozó egyre inkább saját tulajdonaként kezeli, sőt akár saját maga veszi meg. Ellenben az adatok, amik a hordozható eszközre rákerülnek, sokszor egyértelműen a vállalat tulajdonát képezik. A vállalati IT felelős azonban a legtöbbször nem is tud róla, hogy ezek az adatok kikerültek a felelősségi köréből. Márpedig így nem tudja megóvni vállalatát attól, hogy egy elégedetlen/figyelmetlen dolgozó nagyobb mennyiségű értékes adattal távozzon észrevétlenül.

7 Vezetéknélküli hálózatokhoz való hozzáférés
Rosszindulatú szoftverek: A PDA-k és okostelefonok is csak számítógépek, így szintén fenyegetik a vírusok, férgek, trójaik, hátsókapuk, stb. A Palm OS-re már 2000-ben megjelentek vírusok. Az első a Palm Phage volt. 2004. júliusában a Pocket PC is elveszítette az ártatlanságát a Duts féreggel. Ezek érkezhetnek akár ben, de a Cabir féreg óta tudjuk, hogy akár Bluetoothon keresztül is kaphatunk vírust. Ez egyébként Symbian alapú mobiltelefonokat fertőzött meg.

8 Vezetéknélküli hálózatokhoz való hozzáférés
Crackelés, hackelés: Minden hálózat annyit ér, amennyit a leggyengébb pontja. A mobil eszközök is a hálózat részei, ugyanolyan protokollok futnak rajtuk, mint a többi számítógépen (bár szerveralkalmazások igen ritkán). Ugyanúgy előfordulhatnak hálózaton keresztül elérhető programhibák, amikre a múltban már volt precedens.

9 Védelmi intézkedések A géphez való hozzáférés megakadályozása megfelelő azonosítással. Tudásalapú, birtokalapú, biometriai. Ezek közül a biztonságos azonosításhoz legalább kettőt alkalmazni kell. Mindegyik azonosításra van lehetőség a kéziszámítógépeknél. Mobiltelefonoknál már nem ilyen könnyű a megoldás.

10 Védelmi intézkedések A biztonsági mentés akár előre telepített, akár külső szoftverrel megoldható. A mentés vagy egy tárolókártyára vagy egy PC-re kerül. Kérdés, hogy ezek bizalmasságát hogyan lehet megőrizni?

11 Védelmi intézkedések Mint minden számítógép esetén, a PDA-n és az okos telefonokon is kell vírusirtónak lennie. Ezt pedig folyamatosan frissíteni kell – lehetőleg központilag.

12 Védelmi intézkedések A hackerek elleni védekezés legjobb módja az állandó szoftverfrissítés, a tűzfal, a víruskereső telepítése. És a gép ésszerű használata… Persze vannak dolgok, amiket így sem lehet kivédeni.

13 Az iPhone hack Az Apple mobiltelefonját mindenki nagy érdeklődéssel várta. Mellékszálként jegyezzük meg, hogy egy ideig a spamek is az iPhone-nal csábították áldozataikat a veszélyes weboldalakra. A cég tájékoztatása szerint mindent megtettek azért, hogy a készülék biztonságos legyen Ez nagyjából így is volt, hiszen a géphez alig lehetett hozzáférni, a böngészője csak bizonyos típusú fájlokat töltött le, és nyitott meg.

14 Az iPhone hack Csak éppen egy dologra nem figyeltek: minden folyamat adminisztrátori privilégiummal futott, ráadásul a memóriahasználat is megjósolható volt, és a szabad forrású kódokból nem a legfrissebbeket telepítették. Ezeket felhasználva Charlie Miller és csapata nyarán két hét alatt ki tudott fejleszteni egy olyan proof-of-concept kódot, amivel az iPhone kritikus információihoz hozzá lehet férni. Ehhez az kell, hogy a telefon Safari böngészője letöltsön egy HTML oldalt. Az ebben levő JavaScript segítségével letölthető egy olyan kód, ami jelszavakat, eket, és minden más érzékeny adatot kiad a támadónak. Az Apple erre a hibára augusztusban adott ki frissítést.

15 (Kék)fogas kérdések A Bluetooth kapcsolatok sem olyan ártatlanok, mint amilyeneknek látszanak Ha megvan a készülék és tudjuk róla az alapvető információkat, sejthetjük, hogy milyen támadásokra érzékeny A bluetooth protokoll (egyelőre) NEM sérülékeny A hiba (eddig) mindig a megvalósításban volt

16 BlueSnarf Számtalan Bluetooth-os megvalósítási hibát találtak az elmúlt években. A leglátványosabb talán a Bluesnarf. Az OBEX protokoll megvalósítási hibáját kihasználó támadás Az objektum PUSH, azaz feltöltés helyett PULL, azaz letöltés parancsot ad ki Ezzel gyakorlatilag az eszköz összes érzékeny részéhez hozzá lehet férni (el lehet olvasni az SMS-eket, a telefonszámokat, törölni is lehet ezeket, hívást lehet kezdeményezni a sérülékeny mobilról, stb.) Nem szükséges hozzá párosítás A bluesnarfer alkalmazással a hiba egyszerűen kihasználható A Blooover nevű mobil java alkalmazással a támadás mobiltelefonról is kezdeményezhető Régebbi, népszerű telefonok az igazán sérülékenyek (pl. Nokia 6310i)

17 Bluetooth-os támadások?
Paris Hilton telefonjáról kikerült a teljes névjegyzék és az SMS-ek A hírek szerint telefonjának bluetooth kapcsolatán keresztül hackelték meg Valójában a telefonja webes szinkronizálást használt, és ezt törték fel

18 Bluetooth-os támadások?

19 Bluetooth-os támadások?
A Cabir, és hozzá hasonló féregvírusok bluetooth-on keresztül fertőzik a telefonokat A valóság az, hogy a férgek tényleg a bluetooth kapcsolatot használják a terjedésre De a fertőzéshez minden esetben az kell, hogy a telefon tulajdonosa feltelepítse azokat a gépére.

20 Bluetooth-os támadások?

21 Bluetooth-os támadások?
A vírusirtókhoz olyan jelzések érkeztek, hogy a Lexus és Prius modellek fedélzeti számítógépeit a bluetooth-on keresztül terjedő féregvírusok fertőzik Az F-Secure tesztje azonban kimutatta, hogy a beépített bluetooth rendszer egyik nyilvános támadásra sem érzékeny

22 Bluetooth-os támadások?

23 Bluetooth-os támadások?
A bluetooth-os kihangosítókat le lehet hallgatni a Car Whisperer segítségével Valójában a bluetooth képes headsetek általában valamilyen egyszerű PIN kóddal kapcsolódnak a telefonhoz (pl. 1234) A támadó ehhez a headsethez kapcsolódik hozzá, így beszélni tud a vezetőhöz, és hallja is őt A támadás a gyenge PIN kód beállítást használja ki Már számítógépek ellen is bevethető (bizonyos esetekben a driver nem használ PIN kódot a kapcsolódósához).

24 Tanulságok A bluetooth biztonságos, egyik támadás sem a szabvány hibája miatt követhető el A hiba mindig a megvalósításban vagy a felhasználóban van Védekezni nagyon egyszerű: Csak akkor használjuk a bluetooth-t, ha muszáj Állítsunk be „bonyolult” PIN kódot Csak akkor fogadjunk bármit a telefonra, ha biztosan tudjuk, hogy szükségünk van rá A támadások egyre inkább a számítógépek bluetooth kapcsolatai ellen irányulnak. Azért a jelenleg népszerű telefonok is sérülékenyek Bluetoothon keresztüli DoS támadásokra…

25 Tapasztalatok Minden rendszer, hálózat, annyit ér, amennyit a leggyengébb láncszeme. Minden informatikai biztonsági vezetőnek kötelessége lenne minden eshetőségre felkészülni. Például a hordozható eszközök használatának szabályzatba foglalására is. Ne felejtsék el tehát a hordozható eszközöket sem!

26 Köszönöm szépen! krasznay.csaba@kancellar.hu
További információ a Kancellár.hu Kft.-ről a oldalon.

Letölteni ppt "Mobil eszközök biztonsága"

Hasonló előadás

Számítógépes vírusok.

Számítógépes vírusok.
Digitális világ A tudatos mobilhasználat Adatvédelem.

Digitális világ A tudatos mobilhasználat Adatvédelem.
Vírusok, kémek és egyéb kártevők

Vírusok, kémek és egyéb kártevők
Mennyire érzed magad biztonságban a virtuális térben? Dr. Krasznay Csaba.

Mennyire érzed magad biztonságban a virtuális térben? Dr. Krasznay Csaba.
Windows OS Ambrus Attila 2010 Vay Ádám Gimnázium Szakközépiskola Szakiskola és Kollégium Rendszergazda.

Windows OS Ambrus Attila 2010 Vay Ádám Gimnázium Szakközépiskola Szakiskola és Kollégium Rendszergazda.
Vírusok, vírusvédelem.

Vírusok, vírusvédelem.
Digitális világ 4. foglalkozás Mobilfónia 1. Eszközök, lehetőségek.

Digitális világ 4. foglalkozás Mobilfónia 1. Eszközök, lehetőségek.
A kéziszámítógépek biztonsága Krasznay Csaba BME Informatikai Központ

A kéziszámítógépek biztonsága Krasznay Csaba BME Informatikai Központ
A biztonságos netes bankolás Pap Gyula Gyermekmentő szolgálat, Médiakonferencia 2011. szeptember 26.

A biztonságos netes bankolás Pap Gyula Gyermekmentő szolgálat, Médiakonferencia szeptember 26.
Web2 a mobilon: mégis, kinek az érdeke? Méhes Krisztián Neo-Play Entertainment Kft.

Web2 a mobilon: mégis, kinek az érdeke? Méhes Krisztián Neo-Play Entertainment Kft.
Vírusok, férgek és más kártékony programok

Vírusok, férgek és más kártékony programok
Számítógépes hálózatok Páll Boglárka. Meghatározás  A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese.

Számítógépes hálózatok Páll Boglárka. Meghatározás  A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese.
Protecting the irreplaceable | f-secure.com Mobile Security for Business.

Protecting the irreplaceable | f-secure.com Mobile Security for Business.
A biztonság három oldala Páger Máté, Göcsei Zsolt, Szabó Gábor.

A biztonság három oldala Páger Máté, Göcsei Zsolt, Szabó Gábor.
VIPRE Antivirus + Antispyware

VIPRE Antivirus + Antispyware
Vírusok, férgek, trójai programok

Vírusok, férgek, trójai programok
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! 2012. január 16.

Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Magyar Tudományos Akadémia

Magyar Tudományos Akadémia
Mobil eszközök alkalmazása vállalati környezetben

Mobil eszközök alkalmazása vállalati környezetben
Hibakóstoló Rendszergazdai tanácsok a NetNagyi Klub tagjainak.

Hibakóstoló Rendszergazdai tanácsok a NetNagyi Klub tagjainak.

Hasonló előadás

Google Hirdetések