EXPERTS LIVE SUMMER NIGHT Keynote: Gevaren van zowel het … · 2017. 7. 3. · zowel het GSM als...
Transcript of EXPERTS LIVE SUMMER NIGHT Keynote: Gevaren van zowel het … · 2017. 7. 3. · zowel het GSM als...
EXPERTS LIVE
SUMMER NIGHT
Keynote: Gevaren van
zowel het GSM als het
Wi-Fi netwerk
Roel Bierens
Pieter Westein
EXPERTS LIVE
SUMMER NIGHT
Roel Bierens
Roel Bierens is een cyber security
professional die gespecialiseerd is op het
gebied van mobile security en application
protection.
Naast zijn normale werkzaamheden kan
Roel gevonden worden bij hackathons,
CTFs en andere technische events.
EXPERTS LIVE
SUMMER NIGHT
Pieter Westein
Pieter Westein is een cyber security
professional die gespecialiseerd is op het
gebied van penetratie testen op
infrastructuur en (mobiele) applicatie niveau.
Naast zijn normale werkzaamheden neemt
Pieter ook deel aan CTF events, zoals de
Global CyberLympics.
EXPERTS LIVE
SUMMER NIGHT
EXPERTS LIVE
SUMMER NIGHT
De mobiele revolutie
EXPERTS LIVE
SUMMER NIGHT Het gebruik van mobiele apparaten wordt elk jaar
meer
4,63
5,33
5,996,38
6,747,06
7,527,91
0
1
2
3
4
5
6
7
8
9
2009 2010 2011 2012 2013 2014 2015 2016
Aanta
l co
nnect
ies
(mld
.)
Jaar
Aantal mobiele connecties over de hele wereld (2008 tot 2016)
EXPERTS LIVE
SUMMER NIGHT Ook het aantal applicaties wat voor mobiele
apparaten wordt ontwikkeld wordt elk jaar meer
0
200000
400000
600000
800000
1000000
1200000
1400000
1600000
1800000
2011 2012 2013 2014 2015
Apple App
Store
Google Play
Store
Windows
Store
EXPERTS LIVE
SUMMER NIGHT Ook worden applicaties gebruikt voor gevoelige
data
b
EXPERTS LIVE
SUMMER NIGHT Hierdoor worden mobiele apparaten en
applicaties interessant voor aanvallers
189K 36K 34K 40K 299K
1 januari, 2014 januari februari maart 31 maart, 2014
Bekende malware voorbeelden
EXPERTS LIVE
SUMMER NIGHT
EXPERTS LIVE
SUMMER NIGHT
EXPERTS LIVE
SUMMER NIGHT
Real life scenario #1
EXPERTS LIVE
SUMMER NIGHT De aanval
Attacker UserBackend Server
EXPERTS LIVE
SUMMER NIGHT 3 security niveaus
Geen encryptie Encryptie, maar geen
certificate pinning
Encryptie en
certificate pinning
EXPERTS LIVE
SUMMER NIGHT Niet veilig
Backend ServerUser
Attacker
Hallo, ik wil graag toegang tot de data
Hier is de data
EXPERTS LIVE
SUMMER NIGHT Een beetje veilig
Backend ServerUser
Attacker
Hallo, mag ik je public key?
Hier is mijn public key
Hallo, ik wil graag toegang tot de data
Hier is de data
Hallo, ik ben de backend server
en hier is mijn public key
EXPERTS LIVE
SUMMER NIGHT Vrij veilig
Backend ServerUser
Attacker
Hallo, mag ik jou public key?
Hier is mijn public key
Hallo, ik ben de backend server
en hier is mijn public key
EXPERTS LIVE
SUMMER NIGHT
EXPERTS LIVE
SUMMER NIGHT
Demo #1
EXPERTS LIVE
SUMMER NIGHT
EXPERTS LIVE
SUMMER NIGHT
Het beveiligen van een
applicatie
EXPERTS LIVE
SUMMER NIGHT Beveiliging van een applicatie
• Encryptie
• SSL pinning
• AuthenticatieVia een gebruikersnaam en een One-Time
Password (OTP) die verstuurd wordt per SMS.
EXPERTS LIVE
SUMMER NIGHT
EXPERTS LIVE
SUMMER NIGHT
Is dit veilig?
EXPERTS LIVE
SUMMER NIGHT Tekstberichten worden vaker gebruikt voor
gevoelige gegevens
Authenticatie codes
Wachtwoorden
Vlucht details
Bankafschriften
EXPERTS LIVE
SUMMER NIGHT Hoe worden tekst berichten verstuurd?
SMSjes worden verstuurd via base stations
GSM base stations kunnen gespoofd worden
Base station Gebruiker
Gebruiker
BladeRF
EXPERTS LIVE
SUMMER NIGHT Twee manieren om mobiele gegevens te
onderscheppen
Versleuteld
Aanval op base station
Passief
Weak encryption methods
Encrypted
Based on GMS
Base Station
Unencrypted
Downgrade
attack
Active
Downgrade attacks
EXPERTS LIVE
SUMMER NIGHT
EXPERTS LIVE
SUMMER NIGHT
Demo #2
EXPERTS LIVE
SUMMER NIGHT However….
Gebruik van rogue base stations is verboden
Telecom maatschappijen monitoren actief
Alleen bedoeld voor politie
EXPERTS LIVE
SUMMER NIGHT SMS berichten zijn niet onveilig
Als eerste zou een aanvaller de
gebruikersnaam moeten raden.
Daarna zal de aanvaller de OTP moeten
onderscheppen die in het SMS bericht
staat.
EXPERTS LIVE
SUMMER NIGHT
EXPERTS LIVE
SUMMER NIGHT
Vragen?
EXPERTS LIVE
SUMMER NIGHT
Next session 14:45 – 15:30 uur
Close your datacenter and
give your users wings!
Robert van der Zwan & Stefan van der Wiele
EXPERTS LIVE
SUMMER NIGHT
Next session 14:45 – 15:30 uur
Microsoft & cross-platform: a story of penguins andwhales
Maarten Goet