Συλλογές
Τίτλος Ασφάλεια και ιδιωτικότητα σε smartphones
Δημιουργός Ρίσκας-Δανιήλ, Βασίλειος
Συντελεστής Οικονομικό Πανεπιστήμιο Αθηνών, Τμήμα Πληροφορικής
Γκρίτζαλης, Δημήτριος
Τύπος Text
Φυσική περιγραφή 185σ.
Γλώσσα el
Περίληψη Our era is characterized as the “Information Age”. The infiltration of computers and the Internet in our daily lives has greatly contributed, so that everyone and from any place can be able to access an inexhaustible and constantly renewable source of information. This particular need was the driving force that accelerated the manufacture of mobile phones and personal digital assistants (PDAs) and subsequently towards the further development of “smart” mobile devices, the smartphones. Traditional features of simple mobile phones (phone calls, SMS service) were extended and enriched with features such as browsing web pages via an embedded web browser, sending and receiving e-mail, multimedia capabilities like video recording and taking photographs, and other functions that previously were considered to be a "monopoly" of personal computers. Forecasts point to a rise in use of mobile phones in 50% of the total population of the Earth by the end of 2011.Smart phones are the result of the course of telephony which started in the late 19th century with the invention of the telephone. It took several years for the first actual smart phone to appear - although with limited capabilities (Simon 1992). Gradually, new devices were enriched with new functionalities (camera, support of new network protocols), capabilities (desktop applications) and features (long lasting batteries, smaller size, misuse resistant). In order for this technology to become useful, development and/or improvement of its infrastructure had to be made. Radiotelephony laid the foundations in order to develop analog and afterwards digital services. The First Generation (1G) in mobile telephony included analog protocols and services but mainly due to the fact that the transfer rate was extremely low – limited channel capacity – and as a result so was the quality of its services. The Second Generation (2G) in mobile telephony was marked by a shift in the digitalization of services. The encryption of calls, the short message service (SMS) and the ability to send data over the network (e-mail) were some of the most important achievements. Further development of mobile phones and mainly their “conversion” to small computers was the main reason for the improvement of the infrastructures. Features offered by smart phones were not accompanied by quality services – in some cases those features could not be supported at all and as a result they were useless to the user – mainly because of the outdated infrastructure. The Third Generation (3G) substantially improved the quality of the digital services which increased data transfer speed and enabled digitization of voice (VoiP).The development of these devices and in particular the development of their capabilities has transformed them into small, portable computers and has led to widespread adoption by both companies and consumers. More and more information of either company or personal content is being stored in these devices and its use now extends to areas such as financial transactions as well as other areas of general interest that were the monopoly of personal computers. Given these circumstances the concepts of availability, integrity, confidentiality and privacy of information and resources - in this case the apparatus - should be seriously taken into account to ensure the proper use of these devices as well as protection of the sensitive data stored within them. Therefore, it becomes quite obvious that the protection of both the device and the data stored within them, are equally necessary. The adoption of security measures helps to avoid attacks by hackers and prevents from virus-like software infections. Operating systems are considered to be the "brain" of these intelligent devices and the primary target of mobile malicious software. The frequent upgrading of operating systems is one of the best methods against security and privacy breaches of data and devices.The three main mobile operating systems – their combined market share exceeds 80% - are the BlackBerry OS by RIM, Apple's iPhone OS and one of the oldest mobile OS, the Symbian OS. All three of them support available services and protocols that are offered by smart mobile phones. An important difference concerns the fact that the first two may be installed only on certain devices (BlackBerry Series, iPhone Series), while the Symbian OS platform is available to all manufacturers of smart mobile phones. Moreover, and because the iPhone OS and BlackBerry OS target corporate users, there are many applications and surrounding infrastructure that support these operating systems. Also, they all support management of certificates, the most important security protocols and offer encryption capabilities. In order to have a better understanding, a comparative study regarding security features of these operating systems has been performed which showed the superiority of the BlackBerry OS over the other. In addition to the above, there are other operating systems that offer significant functional capabilities and have similar security features (Windows Mobile, Google Android, etc.).The main threat to data security comes mainly from various forms of malicious software. The year 2000 marked the beginning of mobile malicious software as it started infecting smart phones. Admittedly, 2004 is the starting point for the malicious software for mobile phones. The cause of this was the publication of the source code of Cabir virus within the community of hackers, a few months after its release.During the last two years, services that previously were available only through computers started to be available through mobile phones as well. The progress of technology and particularly the processing capabilities and the increase of available storage of mobile phones led to this. More services were offered, including financial applications. The fact that most property / financial data and other information - often sensitive personal data - gets stored on mobile phones, is of particular interest to the criminal community and is a temptation for greater efforts to be performed towards exploiting weaknesses of the devices or their software.Malicious software that infects smart phones has not yet shown its real capabilities. A growing number of new operating systems for mobile phones appear (Android) or have gained a strong market share in a very short time (iPhone OS). These new operating systems will need time to develop resistance to threats, since their design is mainly focused on functionality and addresses mostly the specific circumstances (low energy consumption, rather small processing power etc.) in which they operate, rather than security. New techniques being used by malware writers, which point out several weak spots in operating systems (either younger or older), indicate the fact that nobody can feel safe, even when using an operating system which circulates years on the market. The key to understanding and predicting future threats is to understand the means and motivation of the entities that are likely to be responsible - without excluding any other case - to carry out such threats. These threats appear to come mainly from cyber-criminals and hacker-activists (hacktivists). In addition to these threats, attacks such "Phising", "Pharming" or "Smishing" are expected to target mobile phones, although the first two types of attacks mentioned, were previously of concern only to personal computers.In order to better understand the most important risk factor for smart phone operating systems, the classification of malicious software under certain criteria needs to be performed. The classification, which is presented in detail and with examples in this thesis report, is based on three main categories: the infection strategy, the payload (malicious payload) and the distribution / dispersion strategy. The usefulness of this action (classification of mobile malware on predefined criteria) arises from the fact that it offers insight about future attacks – which probably will occur since services, protocols, device parts and surrounding infrastructure evolves continually – that would help us build new methods of prevention and protection in areas that seem to be most vulnerable.The last chapter of this thesis report contains the implementation of the functionality of three attacks, in order to highlight the security problems that exist in operating systems for smart mobile phones. The operating system that was examined – and targeted was the iPhone OS, both the original (unmodified) and the jailbroken version. Two malicious applications were created (the first is executed via a PC and the second is a worm) that target the jailbroken version and exploit a vulnerability in the operating system regarding the SSH service using predefined known passwords. Both applications target the privacy of the stored data. Moreover, concerning the legitimate iPhone OS, a spyware-application (Trojan horse) was created which has the ability to reveal to the attacker the location of the user.
Η εποχή μας χαρακτηρίζεται ως η εποχή της Πληροφορίας. Η διείσδυση των Ηλεκτρονικών Υπολογιστών (Η/Y) και του Διαδικτύου στη ζωή μας συνέβαλε τα μέγιστα ούτως ώστε κάθε άνθρωπος να μπορεί να έχει πρόσβαση σε μια ανεξάντλητη και συνεχώς ανανεώσιμη πηγή πληροφοριών. Αυτή η συγκεκριμένη ανάγκη αποτέλεσε την κατευθυντήρια δύναμη που ώθησε την κατασκευή κινητών τηλεφώνων και προσωπικών ψηφιακών βοηθών (PDAs) και εν συνεχεία περαιτέρω ανάπτυξη των έξυπνων κινητών τηλεφώνων (smartphones). Στις παραδοσιακές δυνατότητες ενός απλού κινητού τηλεφώνου προστέθηκαν χαρακτηριστικά όπως η περιήγηση σελίδων στο διαδίκτυο μέσω ενσωματωμένου περιηγητή, η αποστολή και λήψη μηνυμάτων ηλεκτρονικού ταχυδρομείου (email), πολυμεσικές ικανότητες όπως καταγραφή βίντεο, φωτογραφιών καθώς και άλλες λειτουργίες οι οποίες μέχρι πρότινος αποτελούσαν “μονοπώλιο” των προσωπικών ηλεκτρονικών υπολογιστών. Προβλέψεις κάνουν λόγο για αύξηση της χρήσης κινητών τηλεφώνων στο 50% του συνολικού πληθυσμού της Γης μέχρι τα τέλη του 2011.Τα έξυπνα κινητά τηλέφωνα είναι το επιστέγασμα της πορείας της τηλεφωνίας που ξεκίνησε στα τέλη του 19ου αιώνα (εφεύρεση τηλεφώνου). Χρειάστηκε να περάσουν αρκετά χρόνια και να εφευρεθούν πολλές συσκευές προτού γίνει πραγματικότητα η κατασκευή του πρώτου έξυπνου κινητού τηλεφώνου – με περιορισμένες όμως δυνατότητες (Simon 1992). Σταδιακά, οι νέες συσκευές που προέκυπταν, εμπλουτίζονταν συνεχώς με νέες λειτουργίες (κάμερα, υποστήριξη νέων πρωτοκόλλων δικτύου), δυνατότητες (εφαρμογές γραφείου) και χαρακτηριστικά (ισχυρότερες μπαταρίες, μικρότερο μέγεθος, ανθεκτικότητα). Προκειμένου να καταστεί δυνατή προς χρήση η συγκεκριμένη τεχνολογία χρειάστηκε επίσης να εξελιχθούν ή/και να αναπτυχθούν εκ του μηδενός οι υποδομές που θα βοηθούσαν προς αυτήν την κατεύθυνση. Η ραδιοτηλεφωνία έθεσε τις βάσεις προκειμένου να αναπτυχθούν στη συνέχεια οι αναλογικές και εν τέλει οι ψηφιακές υπηρεσίες. Η πρώτη γενιά (1st Generation) της κινητής τηλεφωνίας (δεκαετία του ‘80) συνοδεύτηκε από αναλογικά πρωτόκολλα και υπηρεσίες τα οποία όμως είχαν περιορισμένες δυνατότητες και η ποιότητα των υπηρεσιών ήταν εξαιρετικά χαμηλή. Η δεύτερη γενιά (2nd Generation) στην κινητή τηλεφωνία σημαδεύτηκε από την στροφή στην ψηφιοποίηση των υπηρεσιών. Η κρυπτογράφηση των συνομιλιών, οι υπηρεσίες ανταλλαγής σύντομων γραπτών μηνυμάτων αλλά και η δυνατότητα αποστολής δεδομένων μέσω του δικτύου (μηνύματα ηλεκτρονικού ταχυδρομείου) αποτέλεσαν κάποια από τα σημαντικότερα επιτεύγματά της. Η ανάπτυξη των κινητών τηλεφώνων και κυρίως η μετατροπή τους σε μικρούς ηλεκτρονικούς υπολογιστές αποτέλεσε τον κύριο λόγο της περαιτέρω βελτίωσης των υποδομών. Οι δυνατότητες που προσφέρονταν μέσω των έξυπνων κινητών τηλεφώνων δεν συνοδευόταν από ποιοτικές υπηρεσίες κυρίως λόγω των παρωχημένων υποδομών. Η τρίτη γενιά (3rd Generation) βελτίωσε ουσιαστικά την ποιότητα των προσφερόμενων ψηφιακών υπηρεσιών μέσω αύξησης των ταχυτήτων μεταφοράς των δεδομένων, αλλά και δίνοντας τη δυνατότητα ψηφιοποίησης της φωνής (VoiP).Η ανάπτυξη των συγκεκριμένων συσκευών και κυρίως η εξέλιξη των δυνατοτήτων τους, που έχει πλέον μετατρέψει τις συγκεκριμένες συσκευές σε μικρούς, φορητούς ηλεκτρονικούς υπολογιστές, έχει οδηγήσει στην ευρεία υιοθέτησή τους τόσο από εταιρείες όσο και από απλούς πολίτες. Ολοένα και περισσότερες πληροφορίες είτε εταιρικού είτε προσωπικού περιεχομένου, αποθηκεύονται στις συγκεκριμένες συσκευές με τη χρήση τους πλέον να επεκτείνεται σε τομείς όπως οι οικονομικές συναλλαγές και γενικότερα τομείς που αποτελούσαν μονοπώλιο των προσωπικών ηλεκτρονικών υπολογιστών. Λόγω των συγκεκριμένων συνθηκών οι έννοιες της διαθεσιμότητας, της ακεραιότητας, της εμπιστευτικότητας και της ιδιωτικότητας πληροφοριών και πόρων – εν προκειμένω οι ίδιες οι συσκευές – οφείλουν να λαμβάνονται σοβαρά υπ’ όψη ούτως ώστε να διασφαλίζεται η απρόσκοπτη χρήση των εν λόγω συσκευών καθώς και η προστασία των δεδομένων που είναι αποθηκευμένες σε αυτές. Ως εκ τούτου, γίνεται κατανοητό το γεγονός πως η προστασία τόσο των συγκεκριμένων συσκευών όσο και των δεδομένων που είναι αποθηκευμένα σε αυτές, είναι εξίσου αναγκαία. Η υιοθέτηση μέτρων ασφάλειας συμβάλλει στην αποφυγή επιθέσεων από επίδοξους “hacker” καθώς και στην πρόληψη τυχόν μόλυνσης από ιομορφικό λογισμικό. Τα λειτουργικά συστήματα αποτελούν τον “εγκέφαλο” των εν λόγω έξυπνων συσκευών και κύριο στόχο τους. Η συχνή αναβάθμιση των λειτουργικών συστημάτων αποτελεί μια από τις καλύτερες μεθόδους ενάντια σε προσπάθειες παραβίασης της ασφάλειας και ιδιωτικότητας συσκευών και δεδομένων.Τα τρία κυριότερα λειτουργικά συστήματα – καθότι διαθέτουν μερίδιο αγοράς εν τη ενώσει άνω του 80% – είναι το BlackBerry OS της RIM, το iPhone OS της Apple αλλά και ένα εκ των παλαιότερων, το Symbian OS. Και τα τρία υποστηρίζουν το σύνολο των υπηρεσιών και πρωτοκόλλων που δύναται να υποστηριχθούν από έξυπνα κινητά τηλέφωνα. Μια σημαντική διαφορά τους, αφορά το γεγονός πως τα δύο πρώτα δύναται να εγκατασταθούν αποκλειστικά σε συσκευές που κατασκευάζονται από τις εν λόγω εταιρείες ενώ το Symbian OS αποτελεί πλατφόρμα διαθέσιμη προς όλους τους κατασκευαστές έξυπνων κινητών τηλεφώνων. Επιπλέον και λόγω του γεγονότος ότι τα iPhone OS και BlackBerry OS απευθύνονται και σε εταιρικούς χρήστες υπάρχει πλήθος εφαρμογών που υποστηρίζουν τα συγκεκριμένα λειτουργικά συστήματα. Επίσης, υποστηρίζουν διαχείριση πιστοποιητικών, τα σημαντικότερα πρωτόκολλα ασφάλειας και προσφέρουν και δυνατότητες κρυπτογράφησης. Στο συγκεκριμένο κεφάλαιο της μεταπτυχιακής διατριβής πραγματοποιείται και μια συγκριτική μελέτη όσον αφορά τα χαρακτηριστικά ασφάλειας που καταδεικνύει την υπεροχή του BlackBerry OS έναντι των υπολοίπων. Πέραν των προαναφερθέντων, υπάρχουν κι άλλα λειτουργικά συστήματα τα οποία προσφέρουν σημαντικές δυνατότητες και διαθέτουν πλήθος χαρακτηριστικών ασφάλειας (Windows Mobile, Google Android κ.ά.).Η κυριότερη απειλή όσον αφορά την ασφάλεια των δεδομένων που αποθηκεύονται στα έξυπνα τηλέφωνα, προέρχεται από τις διάφορες μορφές ιομορφικού λογισμικού. Το 2000 αποτέλεσε την αρχή όσον αφορά την επέκταση της δράσης του ιομορφικού λογισμικού και την εκμετάλλευση και άλλων συστημάτων πέραν των κλασσικών υπολογιστικών συσκευών (επιτραπέζιοι και φορητοί υπολογιστές. Κατά γενική ομολογία, το 2004 αποτελεί την απαρχή όσον αφορά το ιομορφικό λογισμικό στα κινητά τηλέφωνα. Αιτία αυτού, ήταν η διάθεση του πηγαίου κώδικα του Cabir στην κοινότητα των “hacker”, τους μήνες που ακολούθησαν την αρχική του εξάπλωση. Τα τελευταία χρόνια και κυρίως την τελευταία διετία, υπηρεσίες οι οποίες μέχρι πρότινος διατίθεντο μονάχα μέσω των ηλεκτρονικών υπολογιστών, άρχισαν να παρέχονται και μέσω κινητών τηλεφώνων. Η ανάπτυξη της τεχνολογίας και κυρίως της επεξεργαστικής δυνατότητας και του αποθηκευτικού χώρου των κινητών, οδήγησε στο γεγονός αυτό. Οι υπηρεσίες που επιλέχθηκαν αφορούσαν κυρίως τραπεζικές συναλλαγές (mobile banking), αλλά και άλλες, οικονομικού περιεχομένου κυρίως. Το γεγονός, ότι πλέον περιουσιακά/οικονομικά στοιχεία και άλλες πληροφορίες – συνήθως ευαίσθητα προσωπικά δεδομένα – είναι αποθηκευμένες σε κινητά τηλέφωνα, προκαλεί ιδιαίτερο ενδιαφέρον στην ευρύτερη εγκληματική κοινότητα και αποτελεί δέλεαρ για την καταβολή μεγαλύτερων προσπαθειών εκ μέρους της προς εκμετάλλευση τυχόν αδυναμιών των εν λόγω συσκευών και του λογισμικού τους. Το ιομορφικό λογισμικό που προσβάλει κινητά τηλέφωνα δεν έχει δείξει ακόμα τις πραγματικές δυνατότητές του. Ολοένα και περισσότερα νέα λειτουργικά συστήματα για κινητά τηλέφωνα κάνουν την εμφάνισή τους (Android) ή έχουν κάνει έντονη την παρουσία τους στην αγορά σε σύντομο χρονικό διάστημα (iPhone OS). Τα νέα αυτά λειτουργικά συστήματα θα χρειαστούν χρόνο προκειμένου να αποκτήσουν ανθεκτικότητα στις απειλές, καθότι ο αρχικός σχεδιασμός τους επικεντρώθηκε σε θέματα λειτουργικότητας και αντιμετώπισης των ειδικών συνθηκών στις οποίες θα λειτουργούν, παρά στον τομέα της ασφάλειάς τους. Οι νέες τεχνικές που χρησιμοποιούνται από τους συγγραφείς ιομορφικού λογισμικού που καταδεικνύουν τις αδυναμίες των λειτουργικών συστημάτων (είτε νεότερων είτε παλαιότερων) αποδεικνύουν ότι κανείς δεν μπορεί να νιώθει ασφαλής, ακόμα κι όταν χρησιμοποιεί ένα λειτουργικό σύστημα το οποίο κυκλοφορεί χρόνια στην αγορά. Το κλειδί για την κατανόηση και την πρόβλεψη των μελλοντικών απειλών είναι η κατανόηση των μέσων και των κινήτρων των οντοτήτων που είναι πιθανότερο να είναι υπεύθυνες – δίχως να αποκλείεται οποιαδήποτε άλλη περίπτωση – για την πραγματοποίηση τέτοιων απειλών. Οι απειλές αυτές φαίνεται να προέρχονται κυρίως από εγκληματίες του κυβερνοχώρου (cybercriminals) και “hacker”-ακτιβιστές. Πέραν των συγκεκριμένων απειλών, επιθέσεις τύπου “Phising”, “Pharming” ή “Smishing” αναμένεται να στοχεύσουν και να πλήξουν περισσότερο τα έξυπνα κινητά τηλέφωνα, παρότι οι δύο πρώτες αφορούσαν μέχρι πρότινος αποκλειστικά ηλεκτρονικούς υπολογιστές.Στα πλαίσια της καλύτερης κατανόησης του σημαντικότερου κινδύνου των λειτουργικών συστημάτων των έξυπνων κινητών τηλεφώνων, πραγματοποιείται η ταξινόμηση του ιομορφικού λογισμικού υπό συγκεκριμένα κριτήρια. Η ταξινόμηση που παρουσιάζεται αναλυτικά και με παραδείγματα στη μεταπτυχιακή διατριβή βασίζεται σε τρεις κύριες κατηγορίες: τη στρατηγική της προσβολής ενός κινητού τηλεφώνου, το ωφέλιμο φορτίο (malicious payload) και τις στρατηγικές διανομής/διασποράς. Η χρησιμότητα αυτής της ενέργειας (ταξινόμηση ιομορφικού λογισμικού υπό προκαθορισμένα κριτήρια) προκύπτει από το γεγονός ότι θα προσφέρει διορατικότητα όσον αφορά τις μελλοντικές επιθέσεις – οι οποίες με βεβαιότητα θα προκύψουν –, κάτι που θα βοηθήσει στην κατασκευή νέων μεθόδων πρόληψης, καθώς και στην προστασία περιοχών οι οποίες αποδεικνύονται ως επί το πλείστον ευάλωτες. Στο τελευταίο κεφάλαιο της μεταπτυχιακής διατριβής υλοποιείται η λειτουργικότητα τριών επιθέσεων, προκειμένου να αναδειχθούν τα προβλήματα ασφάλειας που υπάρχουν στα λειτουργικά συστήματα των έξυπνων κινητών τηλεφώνων. Το λειτουργικό σύστημα που στοχοποιήθηκε ήταν το iPhone OS, τόσο το νόμιμο όσο και η “ξεκλειδωμένη” (jailbroken) έκδοση αυτού. Δημιουργήθηκαν δύο εφαρμογές (η πρώτη πραγματοποιείται μέσω Η/Υ ενώ η δεύτερη αποτελεί ιομορφικό λογισμικό τύπου αναπαραγωγός) για την “ξεκλειδωμένη” έκδοση οι οποίες εκμεταλλεύονται μια ευπάθεια του λειτουργικού συστήματος που αφορά την υπηρεσία SSH και τα προκαθορισμένα συνθηματικά. Επιπλέον, όσον αφορά το νόμιμο iPhone OS, δημιουργήθηκε μια εφαρμογή η οποία αποτελεί κατασκοπευτικό λογισμικό (spyware - Trojan horse) και δύναται να αποκαλύψει σε κάποιον επιτιθέμενο την τοποθεσία του χρήστη που τη χρησιμοποιεί.
Λέξη κλειδί iPhone
Smartphones
Ασφάλεια δικτύων
Λειτουργικά συστήματα
Έξυπνα κινητά τηλέφωνα
Ημερομηνία 28-02-2010
Άδεια χρήσης https://creativecommons.org/licenses/by/4.0/