3 principaux points à retenir pour la sécurité des applications mobiles de Black Hat USA 2019 et DEFCON 27 | OneSpan

Samuel Bakken, août 16, 2019
Black Hat USA

J'ai assisté à mon premier DEF CON en 2013, et j'ai eu la chance de revenir à Chicago indemne. Un de mes plus mémorables Black Hat / DEF CONs cependant était en 2017 quand je suis revenu à ma chambre d'hôtel après une fête vendeur pour trouver un mannequin zombie animatronique terrifiant avec des yeux verts brillants introduits dans ma chambre par d'anciens collègues.

Je ris donc sur les histoires sur les "Dangers de DEF CON" qui sont diffusées sur les nouvelles de Las Vegas pendant que les pirates se rassemblent en ville pour Black Hat USA et DEF CON, les premiers événements de l'industrie de la sécurité de l'information de l'année. Je dirais que le plus grand risque est la peur de votre vie fournie par d'anciens collègues coquins.

Les événements de cette année ont été plus importants que jamais. Je suis revenu en toute sécurité encore une fois - et sans un zombie. Mais, voici trois thèmes liés à l'appareil mobile et la sécurité de l'application que je suis revenu avec cette année:

  1. DevOps a fait ses preuves, mais il exige une approche différente de la sécurité de l'information que les professionnels de la sécurité doivent adopter.
     
  2. La sécurité est un voyage et non une destination, et des chercheurs en sécurité bien intentionnés alimentent nos progrès.
     
  3. Les chercheurs voient des signes d'acteurs malveillants évoluant leurs attaques sur les applications et les appareils mobiles (et oui, iOS a des problèmes de sécurité, aussi).

 
1. DevOps/DevSecOps: Impliquez-vous ou partez pour compte

DevOps et DevSecOps ont été des thèmes de nombreuses présentations au cours de Black Hat, mais j'ai pu assister à deux conférences spécifiquement autour de ce sujet. Ils ont attiré mon attention immédiate.

Black Hat USA 2019 a débuté en mettant l'accent sur DevOps et sur la façon dont les professionnels de la sécurité de l'information doivent s'adapter au nouveau paradigme. Au cours de son discours « Chaque équipe desécurité est une équipede logiciels maintenant », conférencier principal et responsable de la sécurité mobile à Square Dino Dai Zovi a fait le point qu'il ya dix ans avec l'introduction du concept DevOps, les équipes de logiciels ont commencé à posséder le déploiement et la disponibilité.

Maintenant, a-t-il soutenu, il est temps pour les équipes de développement de posséder la sécurité ainsi. Il postule que les professionnels de la sécurité devront apprendre à offrir de la valeur aux développeurs en fournissant des outils et des plates-formes en libre-service. Il a suggéré que les professionnels de la sécurité changent de point de vue d'être uniquement critiques et plutôt réfléchir à pourquoi leurs équipes de développement pourraient les «embaucher» pour le travail de sécurité et comment ils peuvent mieux réaliser cette valeur.

Sur le même sujet, l'équipe de tag de Dr. Nicole Forsgren de Google Cloud et Kelly Shortridge de Capsule8 a commencé par sonner une alarme pour la communauté de la sécurité de l'information, avertissant "Infosec a le choix: épouser DevOps ou être rendu impuissant et hors de propos." Leur discours "Controlled Chaos: The Inevitable Marriage of DevOps - Security" était l'un de mes favoris à Black Hat en raison de leur ton non-sens et des idées ambitieuses. Par exemple, ils ont dit que l'avènement du cloud et des microservices a créé la « révolution copernicienne d'Infosec ».

La Révolution copernicienne a été la prise de conscience que la Terre n'était pas le centre de l'univers connu - c'était le soleil. De même, la sécurité ne tourne plus autour du périmètre du réseau ou du pare-feu. Ils ont également suggéré que la triade de confidentialité, d'intégrité et de disponibilité (CIA) qui guide traditionnellement la sécurité de l'information soit remplacée par le modèle distribué, immuable et éphémère (D.I.E) à l'avenir :

  • Distribué : plusieurs systèmes prennent en charge le même objectif et l'infrastructure/ressources distribuées réduisent le risque d'attaques DoS
     
  • Immuable - les ressources/infrastructures ne changent pas après le déploiement et l'autorisation de Shell l'accès à un serveur de production réduit les risques
     
  • Éphémérité - les ressources/infrastructures ont une courte durée de vie, de sorte qu'elles « meurent » après une tâche et sont moins utiles à un attaquant

Un certain nombre d'entreprises de premier plan ont été utilisées comme exemples qui ont mis en œuvre certains de ces processus, mais il sera intéressant de voir si plus de gens et d'entreprises tenir garde à l'avertissement de Forsgren et Shortridge.

Black Hat États-Unis
Figure 1 : Un avertissement terrible pour les professionnels de la sécurité de l'information dans une diapositive de la présentation de Forsgren et Shortridge

2. Donner aux chercheurs les moyens de trouver d'abord des vulnérabilités

Dans l'esprit d'inciter plus de chercheurs en sécurité à passer leur temps à aider à durcir leurs systèmes, Ivan Krsti, le chef de l'ingénierie et de l'architecture de sécurité d'Apple, a annoncé des mises à jour du programme Apple Bug Bounty au cours de son discours "Derrière les coulisses d'iOS et de Mac Security ". Certains disent que ces mises à jour ont été un long moment à venir.

Préparant le terrain pour la session de Krstimô jeudi, un certain nombre de conférences ont exploré la surface de l'attaque iOS tout au long des conférences:

Black Hat États-Unis
Figure 2 : Les « x-glasses » des chercheurs de Tencent Secruity qui détournent la détection d'attention d'Apple Face ID

 

Mon but dans la liste des pourparlers ci-dessus n'est pas de dénigrer Apple ou la sécurité d'iOS. Il est important de se rappeler que même avec le contrôle d'Apple sur le matériel et le logiciel de leurs appareils, iOS a des failles de sécurité tout comme Android. Les entreprises, en particulier les banques, ne peuvent pas dépendre uniquement des systèmes d'exploitation mobiles pour protéger leurs applications contre les attaques ou leurs utilisateurs contre la fraude. De plus, encourager le plus grand nombre possible de chercheurs vertueux à examiner la sécurité des deux écosystèmes nous aide tous.

Dans l'intérêt de faire exactement cela, Krstia a détaillé plusieurs développements positifs dans le programme de primes bug Apple qui incitera certains des plus grands esprits dans la sécurité des données à concentrer leur expertise sur la mise iOS plus sûr.

Auparavant, le programme de primes bug d'Apple était sur invitation seulement. En septembre prochain, le programme sera ouvert à tous les chercheurs en sécurité. En outre, les paiements maximums antérieurs de 200 000 $ ont été augmentés, pour un montant de 1 million de dollars (avec la possibilité d'un bonus de 50 % en plus de cela s'il est trouvé dans le logiciel de pré-version) pour un exploit d'exécution de code sans clic et persistant de l'iPhone le plus sûr couche - ce qu'on appelle le noyau (un Saint Graal des attaques iOS).

Les primes précédentes d'Apple, relativement petites, ont été critiquées, parce qu'elles ne pouvaient pas se comparer aux récompenses payées par le marché noir ou exploiter les sociétés d'acquisition qui vendent des exploits à des agences d'espionnage gouvernementales. Zerodium, l'une de ces sociétés, paie 2 millions de dollars pour un exploit à distance, zéro clic jailbreak d'iOS.

Zerodium ne partage pas d'informations sur leurs exploits iOS avec Apple, car cela dévalorise les exploits qu'ils commercialisent. Mais, si les chercheurs partagent les informations avec Apple, la société peut corriger la vulnérabilité et rendre tous les utilisateurs iOS plus sûrs. Dans le cadre du programme, Apple fera également une sorte de téléphone pré-jailbroken qui sera disponible pour les chercheurs en sécurité approuvés. Cela leur donnera un avantage à trouver des vulnérabilités avant leurs pairs moins dignes de confiance.

En ce qui concerne Le Zerodium et les exploits secrets, un tel exemple a inspiré une chercheuse de Google Project Zero Security, Natalie Silvanovich, pour explorer les attaques sur iOS qui ne nécessitent pas d'interaction avec l'utilisateur. En introduction, Silvanovich a cité un article sur une équipe d'anciens États-Unis. agents du renseignement aidant les Émirats arabes unis à surencercler les personnes d'intérêt à l'aide de logiciels malveillants (surnommés «Karma»). Karma pourrait obtenir des e-mails, l'emplacement, des messages texte et des photographies à partir des iPhones de leurs cibles sans avoir besoin d'interaction avec l'utilisateur. 

On pensait que le malware Karma a profité d'une vulnérabilité non divulguée dans Apple iMessage. L'article a piqué la curiosité de Silvanovich. Ces vulnérabilités existaient-elles? Sont-ils exploitables? Quoi d'autre que iMessage pourrait avoir des problèmes similaires? En fin de compte, l'un des nombreux bugs qu'elle a découvert lui a permis de voler à distance des fichiers via iMessage sur iOS 12.3.1. Les bonnes nouvelles sont que Silvanovich partagé ses conclusions avec Apple afin qu'ils puissent les corriger. Nous bénéficions tous de plus de cela.

Protection des applications mobiles : comment réduire la fraude, faire des économies et protéger les revenus
LIVRE BLANC

Protection des applications mobiles : comment réduire la fraude, faire des économies et protéger les revenus

Découvrez comment le blindage des applications avec la protection des temps d'exécution est essentiel au développement d'une application bancaire mobile sécurisée et résiliente.

Télécharger


3. Les acteurs de la menace mobile font évoluer leurs approches

Les discussions à Black Hat et DEF CON ont porté sur le fait que les attaquants changent leurs approches pour attaquer le canal mobile - en particulier passer à la chaîne d'approvisionnement.

Par exemple, Maddie Stone, chercheuse en sécurité au Google Project Zero, a expliqué lors de son discours : «Securing the System: A Deep Dive into Reversing Android Pre-Installed Apps», qu'il devient de plus en plus difficile d'exploiter et/ou d'enraciner Android. Et en réponse, les attaquants tentent de convaincre les fabricants d'appareils d'inclure des applications malveillantes et préinstallées sur leurs appareils.

Dans de nombreux cas, ces fabricants d'équipements d'origine / fabricants d'appareils d'origine (OAM / ODMs) produisent des téléphones extrêmement bon marché avec des marges minces. Ces fabricants ont soif d'opportunités de revenus supplémentaires. Les mécréants le savent et peuvent présenter au fabricant ce qu'ils appellent une « solution de paiement mobile » ou une « publicité SDK » à partir de laquelle ils peuvent générer des revenus par le biais de commissions. Au lieu de cela, la solution ou SDK inclut du contenu malveillant qui télécharge un botnet sur les appareils des utilisateurs.

Dans un cas, une application de polices d'un développeur tiers appelé EagerFonts incluait un « SDK publicitaire ». Que SDK téléchargé et couru "plug-ins" qui étaient en fait des chevaux de Troie malveillants tels que Chamois (décrit ailleurs par Stone comme le "plus grand botnet que vous n'aviez jamais entendu parler"), Snowfox, et d'autres. Le système a touché plus de 250 oEM et 1 000 appareils différents.

Le cryptographe et expert en sécurité de l'information, Bruce Schneier, a également fait remarquer que la sécurité d'un appareil mobile peut être subvertie à tout moment, pendant le développement, pendant l'expédition, etc. La surface d'attaque mobile est beaucoup moins contenue que beaucoup d'entre nous considèrent. Et les développeurs d'applications doivent se rappeler que les appareils mobiles de leurs utilisateurs peuvent être compromis, des environnements hostiles. Le durcissement et la sécurisation des applications Android et iOS afin qu'elles puissent fonctionner en toute sécurité dans de tels environnements est d'autant plus important.

Tout est vulnérable, mais il y a de l'espoir.

Regard vers l'avenir de l'année prochaine DEFCON et Black Hat USA

Dans l'ensemble, je garde espoir malgré tous les problèmes de sécurité dans la technologie que nous utilisons tous les jours. Il faut simplement se rendre compte que rien ne peut jamais être 100% invulnérable. Un attaquant avec suffisamment de compétences, de temps et de ressources peut presque toujours trouver un moyen de le faire - l'objectif est de rendre cela aussi difficile que possible. Heureusement, nous avons des hackers qui peuvent faire la même chose, mais ils sont de notre côté. Et je dirais qu'en général, les entreprises sont aussi très lentement obtenir un peu mieux à se protéger et leurs utilisateurs.

J'attends avec impatience l'année prochaine et des signes de progrès supplémentaires. Je m'attends à entendre moins sur la façon de commencer à intégrer la sécurité dans DevOps et plus sur l'amélioration de celui-ci ou d'optimiser les processus existants. Je pense aussi que encore plus de discussions sur la sécurité iOS sur l'ordre du jour de l'année prochaine pourrait signaler que les améliorations de prime bug d'Apple atteindre l'objectif de rendre iOS plus sûr. Enfin, j'espère que l'année prochaine il ya plus d'entreprises qui expliquent les problèmes de sécurité côté de l'offre qu'ils ont identifiés et comment ils les ont atténués, en particulier en termes d'appareils mobiles et de développement d'applications mobiles, de sorte que la communauté plus large peut apprendre de leurs efforts. On se voit l'année prochaine!

Sam est senior Product Marketing Manager responsable du portefeuille de sécurité des applications mobiles OneSpan et possède près de 10 ans d'expérience dans le domaines de la sécurité de l'information.