Top 3 Sicherheits-Takeaways für mobile Apps von Black Hat USA 2019 und DEFCON 27

Samuel Bakken, 16. August 2019
Black Hat USA

Ich habe 2013 an meiner ersten DEF CON teilgenommen und hatte das Glück, unbeschadet nach Chicago zurückzukehren. Eine meiner denkwürdigsten Black Hat / DEF CONs war jedoch 2017, als ich nach einer Verkäuferparty in mein Hotelzimmer zurückkehrte, um eine schreckliche animatronische Zombie-Schaufensterpuppe mit leuchtend grünen Augen zu finden, die von ehemaligen Kollegen in mein Zimmer geschmuggelt wurde.

Also kichere ich über Geschichten über die „ Gefahren von DEF CON Diese Nachricht wird in Las Vegas ausgestrahlt, während sich Hacker in der Stadt für Black Hat USA und DEF CON versammeln, die ersten Ereignisse der Informationssicherheitsbranche des Jahres. Ich würde behaupten, dass das größte Risiko die Angst Ihres Lebens ist, die von schelmischen ehemaligen Kollegen verursacht wird.

Die diesjährigen Veranstaltungen waren größer als je zuvor. Ich bin wieder sicher zurückgekehrt - und ohne Zombie. Aber hier sind drei Themen im Zusammenhang mit der Sicherheit mobiler Geräte und Apps, mit denen ich dieses Jahr zurückgekommen bin:

  1. DevOps hat sich bewährt, erfordert jedoch einen anderen Ansatz zur Informationssicherheit, den Sicherheitsprofis berücksichtigen müssen.
     
  2. Sicherheit ist eine Reise, kein Ziel, und gut gemeinte Sicherheitsforscher treiben unseren Fortschritt voran.
     
  3. Forscher sehen Anzeichen dafür, dass böswillige Akteure ihre Angriffe auf mobile Apps und Geräte weiterentwickeln (und ja, iOS hat auch Sicherheitsprobleme).

 
1. DevOps / DevSecOps: Machen Sie mit oder bleiben Sie zurück

DevOps und DevSecOps waren Themen vieler Präsentationen während Black Hat, aber ich konnte an zwei Vorträgen speziell zu diesem Thema teilnehmen. Sie erregten meine sofortige Aufmerksamkeit.

Black Hat USA 2019 begann mit einem Fokus auf DevOps und wie sich Informationssicherheitsfachleute an das neue Paradigma anpassen müssen. Während seines Vortrags “ Jedes Sicherheitsteam ist jetzt ein Software-Team Der Hauptredner und Mobile Security Lead von Square Dino Dai Zovi wies darauf hin, dass Software-Teams vor einem Jahrzehnt mit der Einführung des DevOps-Konzepts damit begannen, Bereitstellung und Verfügbarkeit zu besitzen.

Jetzt, so argumentierte er, ist es Zeit für Entwicklungsteams, auch Sicherheit zu besitzen. Er geht davon aus, dass Sicherheitsexperten lernen müssen, Entwicklern durch die Bereitstellung von Self-Service-Tools und -Plattformen einen Mehrwert zu bieten. Er schlug vor, dass Sicherheitsprofis ihre Sichtweise von reinen Kritikern ändern und stattdessen darüber nachdenken, warum ihre Entwicklungsteams sie für die Sicherheitsaufgabe „einstellen“ könnten und wie sie diesen Wert besser umsetzen können.

Zum gleichen Thema gab das Tag-Team von Dr. Nicole Forsgren von Google Cloud und Kelly Shortridge von Capsule8 zunächst einen Alarm für die Informationssicherheits-Community aus und warnte: „Infosec hat die Wahl: DevOps heiraten oder impotent und irrelevant werden.“ Ihr Gespräch “ Kontrolliertes Chaos: Die unvermeidliche Verbindung von DevOps und Sicherheit War einer meiner Favoriten bei Black Hat wegen ihres sachlichen Tons und ihrer ehrgeizigen Ideen. Zum Beispiel sagten sie, das Aufkommen von Cloud- und Microservices habe die "Infosec Copernican Revolution" ausgelöst.

Die kopernikanische Revolution war die Erkenntnis, dass die Erde nicht das Zentrum des bekannten Universums war - es war die Sonne. Ebenso dreht sich die Sicherheit nicht mehr um den Netzwerkumfang oder die Firewall. Sie schlugen auch vor, die CIA-Triade (Vertraulichkeit, Integrität und Verfügbarkeit), die traditionell die Informationssicherheit steuert, künftig durch das Modell "Verteilt, unveränderlich" und "Vergänglich" (DIE) zu ersetzen:

  • Verteilt - Mehrere Systeme unterstützen dasselbe Ziel und verteilte Infrastrukturen / Ressourcen verringern das Risiko von DoS-Angriffen
     
  • Unveränderlich - Ressourcen / Infrastruktur ändern sich nach der Bereitstellung nicht. Wenn Sie den Shell-Zugriff auf einen Produktionsserver nicht zulassen, wird das Risiko verringert
     
  • Vergänglichkeit - Ressourcen / Infrastruktur haben eine kurze Lebensdauer, sodass sie nach einer Aufgabe „sterben“ und für einen Angreifer weniger nützlich sind

Eine Reihe führender Unternehmen wurden als Beispiele verwendet, die einige dieser Prozesse implementiert haben. Es wird jedoch interessant sein zu sehen, ob mehr Menschen und Unternehmen die Warnung von Forsgren und Shortridge beachten.

Schwarzer Hut USA
Abbildung 1: Eine dringende Warnung für Fachleute der Informationssicherheit auf einer Folie aus der Präsentation von Forsgren und Shortridge

2. Forscher befähigen, zuerst Sicherheitslücken zu finden

Ivan Krstić, Leiter Apple Security Engineering and Architecture, kündigte in seinem Vortrag „Behind the Scenes of iOS and Mac Security“ Aktualisierungen des Apple Bug Bounty-Programms an, um mehr Sicherheitsforscher zu motivieren, ihre Zeit damit zu verbringen, ihre Systeme zu härten ”. Einige sagen, dass diese Updates lange auf sich warten ließen.

In einer Reihe von Gesprächen, die die Bühne für Krstićs Sitzung am Donnerstag bereiteten, wurde die Angriffsfläche von iOS während der Konferenzen untersucht:

Schwarzer Hut USA
Abbildung 2:
" data-entity-type="file" data-entity-uuid="76a17c51-daef-4011-8a54-ce2123e0f4db" src="/sites/newco/files/inline-images/OneSpan-Image-Figure-2-DEFCON-BlackHat_0.png" />

 

Mein Zweck bei der Auflistung der obigen Gespräche ist es nicht, Apple oder die Sicherheit von iOS herabzusetzen. Es ist wichtig, sich daran zu erinnern, dass iOS trotz der Kontrolle von Apple über die Hardware und Software seiner Geräte genau wie Android Sicherheitslücken aufweist. Unternehmen, insbesondere Banken, können sich nicht nur auf die mobilen Betriebssysteme verlassen, um ihre Apps vor Angriffen oder ihre Benutzer vor Betrug zu schützen. Darüber hinaus hilft es uns allen, so viele tugendhafte Forscher wie möglich zu ermutigen, die Sicherheit beider Ökosysteme zu überprüfen.

Um genau das zu erreichen, hat Krstić einige positive Entwicklungen im Apple Bug Bounty-Programm detailliert beschrieben, die einige der größten Köpfe der Datensicherheit dazu anregen werden, ihr Fachwissen darauf zu konzentrieren, iOS sicherer zu machen.

Zuvor war Apples Bug-Bounty-Programm nur auf Einladung verfügbar. Ab September steht das Programm allen Sicherheitsforschern offen. Darüber hinaus wurden die vorherigen maximalen Auszahlungen von 200.000 US-Dollar erhöht und auf 1 Million US-Dollar (mit der Möglichkeit eines 50% -Bonus darüber hinaus, wenn sie in einer Vorabversionssoftware enthalten sind) für einen dauerhaften Code-Ausführungs-Exploit mit null Klick von erreicht Die sicherste Schicht des iPhones - der sogenannte Kernel (ein heiliger Gral der iOS-Angriffe).

Apples frühere, relativ kleine Kopfgelder wurden kritisiert, weil sie nicht mit den vom Schwarzmarkt gezahlten Belohnungen oder der Ausbeutung von Akquisitionsunternehmen verglichen werden konnten, die Exploits an staatliche Spionageagenturen verkaufen. Zerodium, ein solches Unternehmen, zahlt 2 Millionen US-Dollar für einen Remote-Jailbreak-Exploit von iOS ohne Klick.

Zerodium teilt Apple keine Informationen über ihre iOS-Exploits mit, da dies die von ihnen vermarkteten Exploits abwertet. Wenn Forscher die Informationen jedoch an Apple weitergeben, kann das Unternehmen die Sicherheitsanfälligkeit beheben und alle iOS-Benutzer sicherer machen. Als Teil des Programms wird Apple auch eine Art Telefon vor dem Jailbreak herstellen, das zugelassenen Sicherheitsforschern zur Verfügung steht. Dies gibt ihnen den Vorteil, Schwachstellen vor ihren weniger seriösen Kollegen zu finden.

In Bezug auf Zerodium und geheime Exploits inspirierte ein solches Beispiel eine Google Project Zero Security Researcherin, Natalie Silvanovich, dazu, Angriffe auf iOS zu untersuchen, für die keine Benutzerinteraktion erforderlich ist. Zur Einführung zitierte Silvanovich einen Artikel über ein Team ehemaliger US-Amerikaner Geheimdienstmitarbeiter, die den Vereinigten Arabischen Emiraten helfen, interessierte Personen mithilfe von Malware („Karma“) zu überwachen. Karma konnte E-Mails, Standort, Textnachrichten und Fotos von den iPhones ihrer Zielpersonen abrufen, ohne dass eine Benutzerinteraktion erforderlich war. 

Es wurde angenommen, dass die Karma-Malware eine unbekannte Sicherheitsanfälligkeit in Apple iMessage ausnutzt. Der Artikel weckte Silvanovichs Neugier. Gab es diese Schwachstellen? Sind sie ausbeutbar? Was außer iMessage könnte noch ähnliche Probleme haben? Am Ende erlaubte ihr einer von mehreren entdeckten Fehlern, Dateien über iMessage unter iOS 12.3.1 aus der Ferne zu stehlen. Die gute Nachricht ist, dass Silvanovich ihre Erkenntnisse mit Apple geteilt hat, damit sie sie beheben können. Davon profitieren wir alle mehr.

Abschirmung mobiler Apps: So reduzieren Sie Betrug, sparen Geld und schützen Ihre Einnahmen
WEISSES PAPIER

Abschirmung mobiler Apps: So reduzieren Sie Betrug, sparen Geld und schützen Ihre Einnahmen

Erfahren Sie, wie App-Shielding mit Laufzeitschutz der Schlüssel zur Entwicklung einer sicheren, ausfallsicheren Mobile-Banking-App ist.

Jetzt herunterladen


3. Mobile Threat Actors entwickeln ihre Ansätze weiter

In den Gesprächen sowohl bei Black Hat als auch bei DEF CON wurde die Tatsache angesprochen, dass Angreifer ihre Herangehensweisen an Angriffe auf den Mobilkanal ändern - insbesondere auf die Lieferkette.

Zum Beispiel erklärte Maddie Stone, Sicherheitsforscherin bei Google Project Zero, während ihres Vortrags: „ Sichern des Systems: Ein tiefer Einblick in das Umkehren vorinstallierter Android-Apps , “Dass es immer schwieriger wird, Android auszunutzen und / oder zu rooten. Als Reaktion darauf versuchen Angreifer, Gerätehersteller davon zu überzeugen, bösartige, vorinstallierte Apps auf ihren Geräten zu installieren.

In vielen Fällen stellen diese Originalgerätehersteller / Originalgerätehersteller (OEMs / ODMs) äußerst kostengünstige Telefone mit geringen Gewinnspannen her. Diese Hersteller dürsten nach zusätzlichen Umsatzmöglichkeiten. Missetäter wissen dies und können dem Hersteller eine sogenannte "Mobile Payment Solution" oder "Advertising SDK" präsentieren, mit der sie durch Provisionen Einnahmen erzielen können. Stattdessen enthält die Lösung oder das SDK schädliche Inhalte, die ein Botnetz auf die Geräte der Benutzer herunterladen.

In einem Fall enthielt eine Schriftartenanwendung eines Drittentwicklers namens EagerFonts ein „Werbe-SDK“. Dieses SDK hat „Plug-Ins“ heruntergeladen und ausgeführt, bei denen es sich tatsächlich um böswillige Trojaner handelte, wie Chamois (von Stone an anderer Stelle als das „größte Botnetz, von dem Sie noch nie gehört haben“ beschrieben), Snowfox und andere. Das System betraf mehr als 250 OEMs und 1.000 verschiedene Geräte.

Der bekannte Kryptograf und Informationssicherheitsexperte Bruce Schneier wies auch darauf hin, dass die Sicherheit eines mobilen Geräts jederzeit untergraben werden kann - während der Entwicklung, während des Versands usw. Die mobile Angriffsfläche ist weit weniger enthalten als viele von uns denken. Und App-Entwickler müssen sich daran erinnern, dass die mobilen Geräte ihrer Benutzer möglicherweise gefährdete, feindliche Umgebungen sind. Umso wichtiger ist es, die Android- und iOS-Apps zu härten und zu sichern, damit sie in solchen Umgebungen sicher arbeiten können.

Alles ist verletzlich, aber es gibt Hoffnung.

Mit Blick auf DEFCON und Black Hat USA im nächsten Jahr

Alles in allem bin ich trotz aller Sicherheitsprobleme in der Technologie, die wir jeden Tag verwenden, hoffnungsvoll. Es erfordert lediglich die Erkenntnis, dass nichts jemals zu 100% unverwundbar sein kann. Ein Angreifer mit genügend Geschick, Zeit und Ressourcen kann fast immer einen Weg finden - das Ziel ist es, dies so schwierig wie möglich zu machen. Zum Glück haben wir Hacker, die das Gleiche tun können, aber sie sind auf unserer Seite. Und ich würde argumentieren, dass Unternehmen im Allgemeinen auch sehr langsam etwas besser darin werden, sich selbst und ihre Benutzer zu schützen.

Ich freue mich auf das nächste Jahr und auf weitere Fortschritte. Ich erwarte weniger davon, wie man anfängt, Sicherheit in DevOps zu integrieren, als vielmehr davon, wie man es besser macht oder bestehende Prozesse optimiert. Ich denke auch, dass noch mehr Gespräche über iOS-Sicherheit auf der Agenda des nächsten Jahres signalisieren könnten, dass Apples Verbesserungen der Bug Bounty das Ziel erreichen, iOS sicherer zu machen. Schließlich hoffe ich, dass es nächstes Jahr mehr Unternehmen gibt, die die von ihnen identifizierten angebotsseitigen Sicherheitsprobleme und deren Minderung erläutern, insbesondere im Hinblick auf die Entwicklung mobiler Geräte und mobiler Apps, damit die größere Community von ihren Bemühungen lernen kann. Wir sehen uns nächstes Jahr!

Sam ist Senior Product Marketing Manager und verantwortlich für das OneSpan Mobile Security-Portfolio. Er verfügt über fast 10 Jahre Erfahrung in der Informationssicherheit.