Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

A GILE S ECURITY Advanced Malware Protection dla urządzeń przenośnych.

Podobne prezentacje


Prezentacja na temat: "A GILE S ECURITY Advanced Malware Protection dla urządzeń przenośnych."— Zapis prezentacji:

1 A GILE S ECURITY Advanced Malware Protection dla urządzeń przenośnych

2 2 Urządzenia mobilne w firmach  Zagrożenia urządzeń mobilnych istnieją zarówno dla poszczególnych użytkowników jak i całej organizacji.

3 3 Ile z nich wie co robi?  Brak rozwiązania kontrolującego poziom bezpieczeństwa urządzeń mobilnych posiadających ważne dane dla firmy jest tylko kwestią czasu…

4 4 Android najlepszym celem… iOS (Apple) Android (Google) Zcentralizowana dystrybucja aplikacji Aplikacje są do ściągnięcia tylko z jednego, zaufanego miejsca jak np. portal producenta systemu operacyjnego. ✔ (Apple App Store) ✗ Aplikacje są prześwietlane przed publikacją Wszystkie aplikacje są analizowane pod kątem szkodliwości zanim zostaną udostępnione przez producenta systemu operacyjnego tudzież zaufaną firmę zewnętrzną. ✔ (Apple) ✗ Aplikacje są regularnie audytowane Po publikacji powinien istnieć mechanizm ciągłej kontroli potencjalnej szkodliwości aplikacji ✔✔ (Google Play – ‘Bouncer’) Model zaufania bazujący na certyfikatach Certyfikaty muszą być generowane przez zaufane CA. ✔ (Apple) ✗ (Self issued) Aktualny poziom zagrożenia Ilość malware’u wykrytego do maja 2012 (Nie patrzymy na jail-breaki!) 0> % udziału w runku Smartphone’ów, * IDC, czerwiec 2012

5 5 Android w pracy

6 6 Co można wyciągnąć z Androida?  Wiele sposobów na zarobienie ▸ Urządzenia są przywiązane do zaawasowanych systemów billingowych  Łatwiej zlokalizować prywatne dane niż na PC ▸ Większość użytkowników używa standardowych aplikacji systemowych jak Contacts, Gallery, Calendar, itd.  Ciężko zmodyfikować dane osobowe, które już zostały wpisane ▸ Adres gmaila jest wpisany w Google Play ▸ Numery identyfikacyjne urządzenia (numer telefonu na SIM karcie, mac adres WIFI, IMEI, IMSI)  Mnóstwo darmowych aplikacji do ściągnięcia ▸ Aplikacje typu Try and Buy Bardziej podatny od PC-eta

7 7 Wciskanie ‘droida’ w Androida  86% malware’u dostaje się poprzez koszerne aplikacje, które zostały zainfekowane, ponownie spakowane i podpisane certyfikatem ‘self-signed’  36.7% wykorzystuje exploity na roota  90% zmienia urządzenia w botnetowe zombie (np. w Spammera) --Android Malware Genome Project

8 8 W jaki sposób można zarobić?  Wykupić usługi premium  Zapisać użytkownika na usługi premium poprzez SMSy bez jego wiedzy  Podmiana danych w tranzakcjach  Atak w stylu Man-In-The-Middle (MITM), który ukradnie SMSy z kodami autotyzacyjnymi  Espionage I wykradanie danych  Cenne dane można sprzedać, np. nr kart kredytowych, lokalizacja według GPSa, prywatne (ostre) zdjęcia, video, itp.  Sztuczne promowanie wyników wyszukiwarek (SEO poisoning) oraz generowanie Lajków jak i oglądanie reklam  Generowanie ruchu z urządzeń mobilnych do konkretnych wyników wyszukiwania w celu podniesienia ich w rankingu  Sztuczne generowanie kliknięć na reklamy – każde kliknięcie to jakaś tam $  Adware - naciąganie praw autorskich  Nielegalna redystrybucja zainfekowanych aplikacji

9 9 Historia zagrożeń dla Androida  Istnieje ponad 150 kategorii zagrożeń i wykryto ponad 5000 poszczególnych próbek malware’u Pierwszy malware Sierpień 2010 Pierwszy exploit na roota marzec 2011 Pierwszy Drive-by May 2012 Punkt zwrotny malware’u sierpień 2011

10 10 Przykładu malware’u Android Threats AndroidOS.FakeToken | marzec 2012  Onlinowy generator kodów (mtokenów) dla banków Santander, BBVA i Banesto ▸ Atak MITM – podkrada mtoken (hasło) razem z IMEI + IMSI. ▸ Pokazuje zwykły ekran z losowym tokenem  Wysyła informacje o kontaktach ▸ Wysyła to do zdalnego serwera  Może sam się uaktualniać!

11 11 Przykład malware’u Drive-by AndroidOS.NotCompatible | maj 2012  Pierwszy malware typu drive-by (bot)  Aplikacja ściąga się siema podczas przeglądania strony zawierającej ukrytą ramkę iframe… ▸  Scrypt ściągnie aplikację i pokaże ją jako update security (social engineering)  Aplikacja stworzy połączenie do C&C i będzie czekać na dalsze komendy. Uwaga: Instaluj z nieznanych źródeł musi być włączone.

12 12 Android Hardware Dalvik VM Android Kernel + Libraries Messaging App Dalvik VM Music App Dalvik VM Phone App Platforma Androida

13 13 Android App (APK file format) Program Code (classes.dex) App Description (AndroidManifest.xml) Digital Signature (Component Digests) App Resources (bitmaps...etc) Plik Android Manifest zawiera opis komponentów aplikacji. Określa również konieczne uprawnienia do systemu (dostępne jest ponad 150 atrybutów). Każda paczka zwiera elektroniczny certyfikat dewelopera (self-signed) oraz sumy kontrolne dla każdego z komponentów aby upewnić się, że nic nie zostało zmienione. Jako dodatkowe elementu możemy mieć np. bitmapy, itp. Aplikacje są pisane w języku Java i później kompilowane do wykonywalnego formatu Dalvik (dex) – przechowywanym później wewnątrz pakietu jako plik classes.dex. Z czego składa się paczka aplikacji?

14 14 Podgląd drzewa paczki APK

15 15  Każda z aplikacji ma swoją maszynę wirtualną Dalvika  Dostęp do zasobów poza maszyną wirtualną wymaga wcześniejszego zdeklarowania oraz zaakaceptowania przez użytkownika  Jest tylko jedna szansa na zweryfikowania i zaakceptowanie bądź odrzucenie zestawu uprawnień podczas instalacji aplikacji Uprawnienia aplikacji

16 16 App #1 App #2 App #1 Data Private Storage SD card Content Provider Wymiana informacji  Private storage jest niedostępny dla innych aplikacji.  Aplikacje mogą dzielić się informacjami poprzez “content provider” lub nagrywanie i zczytywanie danych z karty SD  Android wykorzystuje ‘content provider’ dla standardowych aplikacji jak Contacts, Calendar czy Gallery.

17 17  Aplikacje w paczkach APK są elektronicznie podpisywane  Android nie posiada opcji w GUI do podglądu certyfikatu  Certyfikaty są typu self-signed i nie ma mechanizmu pozwalającego identyfikować deweloperów na zasadzie drzewa publicznego I zaufanego CA Podpisywanie aplikacji

18 18  Dystrybucja aplikacji na Andrioda nie posiada zcentralizowanego kanału dystrybucji – paczki z aplikacjami można ściągać z dowolnych źródeł  Aby zainstalować aplikację z innego źródła niż Google Play, funkcja ściągania paczek z nieznanych źródeł musi być włączona: “Unknown sources”. ▸ Nawet niektóre systemowe aplikacje wymagają aktywacji tej funkcji.  Google Play nie posiada procesu weryfikacji aplikacji przed i po publikacji. Dystrybucja aplikacji

19 19  Platforma Androida nie ma możliwości aby jakaś aplikacja mogła zainstalować swoje sterowniki w celu skanowania programów w czasie rzeczywistym, np. podczas ich wykonywania…  Skanowanie musi odbywać się w trakcie: ▸ Instalacji aplikacji ▸ Na żadanie ▸ Cyklicznie o ustawionej porze jako ‘scheduled task’  Częste skonowanie na żądanie lub jako ‘scheduled task’ wysysają energię z baterii w przyspieszonym tempie Skanowanie w poszukiwaniu malware’u - wyzwania

20 20  FireAMP Mobile dostarcza pełen wgląd i kontrolę nad środowiskiem Androida ▸ Wykorzystuje zalety FireCloud w celu jak najszybszego wykrycia zagrożeń ▸ Przechowuje historię instalowanych aplikacji ● Możliwość retrospekcji ● Pozwala na blacklisting ▸ Pozwala zrozumieć trendy i obserwować zagrożenia: ● Monitoruj aktywnych ‘szkodników’ ● Zidentyfikuj ataki ● Śledź naruszenia polityki zgodności  Wszystko to przy zachowaniu: ▸ Niskiego obciążenia sieci ▸ Niskiego poboru energi z bateri FireAMP Mobile

21 21 FireAMP Mobile

22 22 FireAMP Mobile Implementacja https://console.amp.sourcefire.com/get_install… Demo

23 23 FireAMP Mobile Blacklisting

24 24 FireAMP Building Blocks Lightweight Connector Watches for move/copy/execute Traps fingerprint & attributes Web-based Manager Transaction Processing Analytics Intelligence Mobile Connector Watches for apps Traps fingerprint & attributes

25 25 FireAMP Mobile  Wyszukuje i usuwa malware na urządzeniach mobilnych z systemem Android  Zapewnia zgodność urządzeń mobilnych z założoną polityką zgodności  Pozwala zrozumieć trendy i obserwować zagrożenia: ▸ Monitoruj aktywnych ‘szkodników’ ▸ Zidentyfikuj ataki ▸ Śledź naruszenia polityki zgodności FireAMP

26 A GILE S ECURITY Zapraszamy do stoiska!


Pobierz ppt "A GILE S ECURITY Advanced Malware Protection dla urządzeń przenośnych."

Podobne prezentacje


Reklamy Google