MOBILE ENTERPRISE: APPLICAZIONI, COMPORTAMENTI E RISCHI ANTONELLA FRISIELLO E FRANCESCO RUÀ ISTITUTO SUPERIORE MARIO BOELLA Quali pericoli corriamo utilizzando internet e gli strumenti digitali? Uno, nessuno o decisamente troppi! Centro Congressi Torino Incontra 10 dicembre 2013
L UNICO SISTEMA SICURO È UN SISTEMA SPENTO Per essere accessibili, i sistemi IT si rendono vulnerabili. Nuove vulnerabilità vengono scoperte di continuo e crescono con gli aggiornamenti e le evoluzioni tecnologiche che a ritmo continuo vengono rilasciati sul mercato Migrazioni su diverse piattaforme Architetture IT in azienda (da client/server web cloud) Le nuove forme di utilizzo di device (BYOD, Bring Your Own Device) Le innovazioni tecnologiche sono terreno fertile per il cybercrimine, il cui impatto economico sulle imprese si prevede crescerà del 10% entro il 2016. Gli attacchi stanno evolvendo da forme di vandalismo a interventi mirati e sofisticati verso informazioni riservate. Gartner, 2013 2
MOBILITÀ = PRODUTTIVITÀ Tra il 60 e l 80%delle aziende italiane giudica il BYOD viene giudicato positivamente sia sul fronte della produttività sia sulle economie di gestione dei sistemi che se ne possono derivare. BCI - Italia, 2013 Maggiore complessità di gestione dei sistemi Difficile compliance normativa su sicurezza e privacy User Driven Vulnerability 3
USER DRIVEN VULNERABILITY Luogo, giorno mese anno Copyright 2013 ISMB
USER SEMPRE PIÙ CROSS-PLATFORM Continuiamo ad integrare nuove tecnologie nella nostra vita di tutti i giorni, nei processi, nelle routine, investendo in genere pochissimo nella comprensione di come funzionano. Ambito Consumer Google s annual survey of mobile users, 2013 Ambito Enterprise 5
RISCHI DEL BYOD VALUTATI DALLE IMPRESE ITALIANE Furti o smarrimenti apparati Controllo accessi Perdita dati residenti sui device BCI - Italia, 2013 6
L ERRORE UMANO Decontestualizzazione Micro-interazioni Sullo smartphone, ogni volta che modifichiamo un'impostazione, impostiamo un allarme, scegliamo una password, facciamo un login, rispondiamo a un messaggio siamo impegnati in una micro-interazione. L'accuratezza delle nostre azioni diminuisce tanto più sono le attività che svolgiamo contemporaneamente. http://bit.ly/ql5ndx 7
DESIGN AND DEVELOPMENT DRIVEN VULNERABILITY Luogo, giorno mese anno Copyright 2013 ISMB
DISPOSITIVI MOBILE LE VULNERABILITÀ 10
E I RISCHI 11
JAILBREAK - ROOT Jailbreak è il processo di rimozione di alcune restrizioni e limitazioni imposte da Apple sui dispositivi che utilizzano il sistema operativo ios Root è l operazione attraverso cui si ottiene l accesso superuser all interno di un dispositivo disponibile sui dispositivi Android. 12
FRAMMENTAZIONE ANDROID OS Versione Android Distribuzione Distribuzione Android 1.6 Donut 0,20 % Android 2.1 Eclair 2,40 % Android 2.2 Froyo 9,00 % Android 2.3 - Android 2.3.2 Gingerbread 0,20 % Android 2.3.3 - Android 2.3.7 Gingerbread 47,40 % Android 3.1 - Android 3.2 Honeycomb 0,40 % Android 3.1 - Android 3.2 Honeycomb 1,10 % Android 4.0.3 - Android 4.0.4 Ice Cream Sandwich 19,10 % Android 4.1 Jelly Bean 9,00 % Android 4.2 Jelly Bean 1,20 % 13
14
DATA STORAGE Dati sensibili non protetti adeguatamente Generalmente un risultato dovuto a: Non cifrare i dati Caching di dati non concepiti per avere un salvataggio a lungo termine Permessi deboli o globali IMPATTO Confidenzialità persa sui dati Credenziali rivelate Violazione della privacy Luogo, giorno mese anno Copyright 2013 ISMB 15
Mancanza di cifratura per i dati trasmessi Accade purtroppo molto spesso PROTEZIONE DELLA RETE Cifratura forte, ma ignorando warning di sicurezza Ignorando la validazione sui certificati digitali Utilizzando dati non cifrati in caso di fallimenti IMPATTO Attacchi Man in - the middle Manomissione dati in transito Confidenzialità dei dati persa Luogo, giorno mese anno Copyright 2013 ISMB 16
AUTORIZZAZIONE E AUTENTICAZIONE Alcune app utilizzano per l autenticazione solamente elementi immutabili (IMEI, IMSI, UUID) Identificatori hardware persistono attraverso factory reset dei dispositivi Aggiungere a queste informazioni contestuali è utile ma non completamente sicuro IMPATTO Aumento dei privilegi (escalation) Accesso non autorizzato Luogo, giorno mese anno Copyright 2013 ISMB 17
GESTIONE DELLE SESSIONI Le sessioni sulle app mobile generalmente durano molto di più per convenienza e usabilità Le app mantengono le sessioni tramite Cookies HTTP Token Oauth SSO auth Cattiva idea = usare l id dispositivo come token di sessione Trade off tra usabilità e sicurezza Luogo, giorno mese anno Copyright 2013 ISMB 18
OBIETTIVI DEL REVERSE ENGENEERING APPROACH Capire come funziona l app per scoprirne le eventuali falle di sicurezza che contiene al suo interno Trovare chiavi contenute all interno dell applicazione quali password, chiavi private di certificati digitali, chiavi usate da algoritmi di cifratura Scoprire gli algoritmi che l app cela al suo interno Bypassare i controlli lato client riscostruendo l app Estrarre le risorse i layout dell applicazione Luogo, giorno mese anno Copyright 2013 ISMB 19
IOS REVERSE ENGENEERING E difficile effettuare operazioni di reverse engeneering sul codice delle app in quanto il codice sorgente diventa codice assembler ARM Le risorse all interno delle App e sui dispositivi sono facilmente estraibili 20
ANDROID REVERSE ENGENEERING Il codice sorgente Java viene trasformato in byte code che interpreta la virtual machine presente a bordo (Dalvik Virtual Machine) Esistono tool per decompilare facilmente le app risalendo direttamente al codice sorgente Per proteggersi è meglio utilizzare tool che effettuano l offuscamento del codice 21
CONTATTI Antonella Frisiello, Francesco Ruà Mobile & Usability Istituto Superiore Mario Boella h2u@ismb.it www.ismb.it www.ismb.it