Felhő alapú mobilalkalmazások biztonsága Budai Péter, Mikó Norbert Vezető szoftverfejlesztők, Tresorit Kft.

Slides:



Advertisements
Hasonló előadás
Skultéti Attila március 24.
Advertisements

M OBILROBOT - PROGRAMOZÓ VERSENY Készítette: Szomjas Oroszlánok Team.
A kártyanyomtatás fortélyai Csákvári Krisztián Kártya és címke gyártás
Nemzeti Tehetség Program Tehetségútlevél Program „NTP-TÚP ” Bedő Tamás – D82H82 Mérnök informatikus szak Konzulens:Hadarics Kálmán A VoIP protokoll.
Online szabadságtervező, jóváhagyó, nyilvántartó rendszer.
E-BANKING SUMMIT március 3. Biztonságos kommunikáció biztosítása a pénzintézetek és a hatóságok között Szabó Katalin Termékmenedzsment osztályvezető.
A korszerű könyvtár A gyors és célszerű keresés lehetőségei és technikája Vasas Lívia Semmelweis Egyetem Központi Könyvtár
A kifizetési kérelem összeállítása TÁMOP-3.2.9/B-08 Audiovizuális emlékgyűjtés.
INTERNETES BÖNGÉSZ Ő K Készítette: Horváth Tünde.
A szoftver mint komplex rendszer (folyt.) A SunTone módszertan 3 dimenziós osztályozási sémája kifinomultabb osztályozást tesz lehetővé.
Az IKER önértékelő IKER társadalmasítás workshop Budapest, április 12.
1 Az önértékelés mint projekt 6. előadás 1 2 Az előadás tartalmi elemei  A projekt fogalma  A projektek elemei  A projekt szervezete  Projektfázisok.
Dr. Szűcs Erzsébet Egészségfejlesztési Igazgatóság Igazgató Budapest, szeptember 29. ÚJ EGÉSZSÉGFEJLESZTÉSI HÁLÓZATOK KIALAKÍTÁSA ÉS MŰKÖDTETÉSE.
AZ ELEKTRONIKUS KÉPZÉS MINŐSÉGBIZTOSÍTÁSA INFORMATIKA A FELSŐOKTATÁSBAN DEBRECEN DR. ZÁRDA SAROLTA GÁBOR DÉNES FŐISKOLA.
A szaktanácsadás szolgáltatási terület dokumentációja Némethné Józsa Ágnes Intézményfejlesztési referens.
FELHŐ (CLOUD) Tokár Dániel NK.: C9F5B3. MIRŐL IS LESZ SZÓ?  Mi is az a felhő?  Előnyök / Hátrányok  Biztonság  Néhány nagyobb szolgáltató  Összegzés.
Kiszervezés szolgáltatói szemmel Tóth Zoltán november 9.
EU pályázati programok A szervezet / változások 1.A pályázók adminisztrációs terheinek csökkentése a projektfejlesztési, pályázati szakaszban.
XXIV. Országos Jegyző-Közigazgatási Konferencia Wi-Fi és HD kamerarendszer Borbély Olivér
Internet tudományos használata
ERASMUS+ DISSZEMINÁCIÓS PLATFORM
Magyar információbiztonsági szabványok
Az IoT biztonsága hardveroldalon kezdődik
„Rendszerelmélet és SAP Business One, akár pályázati forrásból?”
Nagyméretű állományok küldése
Magyar Tannyelvű Magán Szakközépiskola Gúta
11/2/2017 Horváth Botond, Dunaújvárosi Főiskola, Informatika Biztonság Labor Konzulens Dr. Leitold Ferenc, Hadarics Kálmán “Nemcsak azokkal a sebezhetőségekkel.
Vírusvédelem - ESET NOD32 cseréje – KASPERSKY ENDPOINT SECURITY FOR BUSINESS ADVANCED vírusvédelmi megoldás - piacvezető, legmodernebb megoldás - központalag.
Modern vállalkozások programja
Adattárház fejlesztés módszertani tapasztalatok a HIFI-ben
HUNTÉKA Integrált Könyvtári (Közgyűjteményi) Rendszer
Kockázat és megbízhatóság
Magyar Tudományos Művek Tára
IT feladatok kiszervezhetősége kis és közepes vállalatok esetén
Új szolgáltatások illesztése működő rendszerekhez SOA alulnézetben
Projektmunka Földrajzolok
ADAT ÉS TECHNOLÓGIA ORIENTÁLT MARKETING TEVÉKENYSÉG, VÉGE A MEGÉRZÉSEK ÉS AZ ÉRZELMI ALAPÚ DÖNTÉSHOZATALNAK.
A honlapod a holnapod? ,illetve Data is the new Oil?
A Hálózat és Az internet
Kovács Ibolya szociálpolitikus Foglalkoztatási és Szociális Hivatal
AZ OKOSHÁZAK BEMUTATÁSA
TÁMOP A pályaorientáció rendszerének tartalmi és módszertani fejlesztése – Életpálya-tanácsadás Csanádi Nikolett Hényel Anett.
CONTROLLING ÉS TELJESÍTMÉNYMENEDZSMENT DEBRECENI EGYETEM
CALDERONI FORRÁSKEZELŐ RENDSZER
Nap és/vagy szél energia
Tájékoztató az Önkormányzati ASP Projektről
Mobilkommunikáció Eszközök és hálózatok
A villamos installáció problémái a tűzvédelem szempontjából
Környezeti Kontrolling
Hiteles Elektronikus Archívum
Új pályainformációs eszközök - filmek
Oracle Adatbázisok kezelése c#-ban
Tájékoztatás a évi Országos Statisztikai Adatfelvételi Program (OSAP) teljesüléséről az Országos Statisztikai Tanács és a Nemzeti Statisztikai Koordinációs.
A távoli asztal, valamint az Endnote használata a távoli asztalon
Sigfox technológia és hálózatok
Lapkiadó, rendezvényszervező vállalatirányítási rendszer SQL alapon
Interaktív Adatmenedzsment Kft.
A szállítási probléma.
Könyvtárhasználati alapismeretek II. Olvasószolgálat
SOTER-LINE Soter-Line Oktatási, Továbbképző és Szolgáltató Kft.
Együtt Nyírbátorért Helyi Közösség
Együtt Nyírbátorért Helyi Közösség
Üdvözöljük a PowerPointban!
IT hálózat biztonság Összeállította: Huszár István
Adatforgalom és lokális adattárolás PWA-k esetében
Kovács Ibolya szociálpolitikus Foglalkoztatási és Szociális Hivatal
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
A program értékelése Kerekasztal beszélgetés
OpenBoard Kezelő Tananyag közzététele a KRÉTA rendszerben.
Kórházi és ágazati gazdálkodást érintő informatikai fejlesztések és az azokban rejlő lehetőségek Horváth Tamás Vezérigazgató CompuTREND Zrt.
Előadás másolata:

Felhő alapú mobilalkalmazások biztonsága Budai Péter, Mikó Norbert Vezető szoftverfejlesztők, Tresorit Kft.

Miről lesz szó? A Tresorit szolgáltatás és platformjainak gyors bemutatása A Tresorit szoftver architektúrája –Hogyan épül fel? –Miért? Mobilalkalmazások biztonsági kérdései –Mit kell védeni? Mi ellen kell védekezni? –Milyen megoldásokat nyújtanak a készülékgyártók, illetve a Tresorit? Összefoglalás 2

Tresorit - biztonságos kollaboráció 8 platformon Biztonságos kollaborációs szoftver –Fájlok tárolása, szinkronizációja és megosztása a felhőben –Magas szintű biztonság, kliens oldali titkosítás 8 platform –Desktop Windows, Mac OS X, Linux –Mobil Android, iOS, BlackBerry, Windows Phone –Web 3

A Tresorit háromszintű architektúrája 4 Kliens alkalmazások –Platform “natív” eszközkészlet és nyelv Kriptográfiai köztes réteg –“Core” library –C++ –Beépül a kliensekbe –Szerver elérés Tároló és kiszolgáló szerverek –Microsoft Azure szolgáltatások ASZTALI ALKALMAZÁSMOBIL APP KÖZTESRÉTEG SZERVEREK WEBES KLIENS

Miért így épül fel? Kliens oldali titkosítás –Számításigényes műveletek Gyorsabb működés Jobb üzemidő Fejlesztés gyorsítása –Jelentős kliensoldali logika –Hibalehetőségek minimalizálása Könnyű kezelés és fejlesztés –Natív, megszokottabb felhasználói felület A operációs rendszer összes szolgáltatása elérhető a platform natív nyelvéből –Egyszerűbb szerver-kliens kommunikáció 5

Mobilalkalmazások biztonsági kérdései Mit védünk? –Felhasználó személyes adatai –Alkalmazás, mint szellemi tulajdon Mi ellen védekezünk? –Ellopott, elvesztett eszközök –A készüléken futó más alkalmazások –Készülékgyártók –Telefon- és internetszolgáltók –Rosszindulatú támadók 6

Ellopott, elvesztett eszközök Platformok megoldásai –Passcode, PIN, unlock jelszó –Biometrikus azonosítás a kényelmesebb használat kedvéért Lehetséges az alkalmazásokkal is integrálni iOS - Minden újabb készülék (iPhone 4+) Android - Kezdenek megjelenni az új készülékekben –Minden platformon összekötve a háttértár titkosítással iOS - Full storage encryption Android Full disk encryption WP – BitLocker –Távoli törlés Szintén mindhárom platformon létezik (Find My Phone / Device Manager) Aktív hálózati kapcsolat szükséges Egyéb funkciók: távoli lezárás, üzenet kiírása a kijelzőre (Android) 7

Ellopott, elvesztett eszközök Mit tehetünk még? A Tresorit megoldásai –Lokálisan titkosított adatok Az operációs rendszertől független kulcsokkal Figyelni kell rá, hol tároljuk ezeket a fájlokat –Eszközkezelési lehetőségek Elhagyott eszközök letiltása - kliens és szerver oldalon is Bizonyos platformok, IP címtartományok, országok tiltása vagy engedélyezése 8

A készüléken futó más alkalmazások Platformok megoldásai –Sandboxing Az alkalmazás csökkentett jogosultságokkal fut Külön jogosultság kérés: Contacts, Location, Photos, Internet –Védi mind a rendszert mind pedig a felhasználót, illetve az alkalmazásokat egymástól Adatok megosztásához appok között különböző lehetőségek vannak, sokkal formálisabb –Apponként ki- és bekapcsolható Android 6.0+ és iOS – Futás közben kér jogosultságot az alkalmazás, egyszeri alkalomra vagy örökre, később letiltható Android 6.0- és Windows Phone – Telepítéskor engedélyezzük a jogosultságokat, mindent vagy semmit alapon Jailbreak/rooting problémát jelent 9

Készülékgyártók Kényelmi szolgáltatások –Meglehetősen szabadon kezelik adatainkat Backup/restore –iOS - iCloud Backup Automatikus biztonsági mentés a felhőbe Figyelni kell, érzékeny adatokat hova helyezünk –Az alkalmazás sandboxából némely mappákat nem backupol –Illetve explicit kikapcsolni is lehet barmely mappára vagy fájlra –Android Nincs alapértelmezett biztonsági mentés Erre a célra léteznek alkalmazások, illetve fejlesztői eszközökkel oldható meg –Fejlesztő tilthatja, hogy ezek a backup solutionok láthassák az alkalmazás adatait –Sajnos gyakoriak a root jogot igenylő backup szoftverek, ahol ez nem segít –WP Ki- és bekapcsolható központi biztonsági mentés OneDrive tárhelyre Nagyon hasonlít az iOS megoldásához, de opt-out helyett opt-in jellegű 10

Telefon-, internet- és felhőszolgáltatók A hálózaton átmenő forgalom hozzáférhető –Mobilszolgáltatók, nyilvános Wi-Fi hotspotok –Titkosított hálózati kapcsolatot használujunk A Tresorit a TLS 1.2 csatornán kommunikál minden esetben Szerver és kliens oldali authentikáció X.509 tanúsítványok segítségével A felhőben tárolt adatok is hozzáférhetőek a szolgáltató felé –Felhasználják a szokásaink elemzésére –Esetleges hacker támadás esetén ők is hozzáférnek Nem segít a szerver oldali titkosítás –A Tresorit megoldása a kliens oldali titkosítás Még feltöltés előtt A mi adminisztrátoraink sem férnek a felhasználó adataihoz 11

Rosszindulató támadók Az eddig felsorolt elemek ez ellen is védenek –Jelkódok –Kliens oldali titkosítás Lokálisan tárolt és feltöltött adatokra is –Sandboxing –Titkosított adatkapcsolat A felhasználónak meg kell bíznia az operációs rendszerben –Egy hiba mindig kihasználható –Érdemes a saját alkalmazásunkba is védelmet beépíteni Az operációs rendszertől független megvalósítással A felhasználónak meg kell bíznia az alkalmazásban 12

Rosszindulató támadók Alkalmazás aláírás –A cél, hogy a felhasználó meggyőződhessen, hogy az alkalmazás megbízható forrásból érkezik –iOS Nagyon jól kitalált, komplex rendszer –Certificates, Provisioning Profiles, Signing identites Apple által kiállított tanúsítványokkal Egy app aláírása csak addig él amíg a fejlesztő feltölti az AppStore-ba –Utána ők egy saját tanúsítvánnyal irják alá, ezt fogadja csak el az iOS Adhoc Distribution rendszer enterprise alkalmazásokhoz –Android Publikus/privát kulcspár a fejlesztőnél, azzal kell digitálisan aláírni az alkalmazást –Ha kompromittálódik, nem lehet visszavonni, egy teljesen új alkalmazást kell létrehozni a Play Store-ban. –Windows Phone Fejlesztő nem, csak a Microsoft írja alá a Store-ban feltöltött alkalmazást Itt is létezik enterprise distribution 13

Köszönöm a figyelmet! Kérdések?