hackers pub per thorsheim jan 31, 2011
DESCRIPTION
Min presentasjon fra DND Hackers Pub i Bergen, mandag 31. januar 2011.TRANSCRIPT
Kan noen høre deg?
Per ThorsheimCISA, CISM, CISSP-ISSAPSikkerhetskoordinator
Bakgrunn
• Chaos Computer Club, kongress Desember 2009– GSM : SRSLY? (Chris Paget, Karsten Nohl)
• A practical-time attack on the A5/3 cryptosystem used in third generation GSM telephony (Dunkelman, Keller, Shamir), januar 2010
• Blackhat 2010• Paranoia 2010 : 15$ + tid og programvare = SMS (Frank Stevenson)• Chaos Computer Club, kongress Desember 2010
Kilde: digi.no
www.finnsenderen.no
www.finnsenderen.no
DND Hackers Pub 31. januar 2011 – Per Thorsheim 7
Dumme, smarte telefoner?
(Gartner, Q3, 2010)
DND Hackers Pub 31. januar 2011 – Per Thorsheim 8
Brute-force angrep
http://reflextor.com/trac/a51
Man-in-the-Middle angrep
• Du kan velge nettoperatør (Telenor, Netcom…)• Men du kan ikke velge basestasjon• Jeg lager en basetasjon• Min basestasjon gir best signalstyrke• Du kobler deg automatisk til• Via Internett kobler jeg deg videre dit du skal
Glemmer vi noe her?
DND Hackers Pub 31. januar 2011 – Per Thorsheim 13
Spørsmål:
Har du avlyttet en GSM/3G telefonsamtale?
Har du noen gang ”sniklyttet” til noen som prater i mobiltelefon?
Har du noen gang ”sniklyttet” til noen som prater i telefon?
Bruker du høyttaler funksjon når du er i telefonmøter?
DND Hackers Pub 31. januar 2011 – Per Thorsheim 14
Prater du kryptert?
http://security.osmocom.org/trac/wiki/WillMyPhoneShowAnUnencryptetConnection
DND Hackers Pub 31. januar 2011 – Per Thorsheim 15
Soundminer (video)
DND Hackers Pub 31. januar 2011 – Per Thorsheim 20
i/P/ad/od/hone• AES Hardware Device
Encryption• ”Encrypt backup” flag on
device
• Global encryption requirement?
• Password policy for encryption?
Screenshots from Elcomsoft APPB, opening an iPodBackup and exploring its keychain for interesting data.
DND Hackers Pub 31. januar 2011 – Per Thorsheim 21
Science fiction? (video av DIY Laser eavesdropping)
DND Hackers Pub 31. januar 2011 – Per Thorsheim 22
Alternativer?
DND Hackers Pub 31. januar 2011 – Per Thorsheim 23
Software VoIP på mobiltelefon
• Både gratis og kommersielle produkter tilgjengelig– Skype (ulike plattformer)– Android: RedPhone, TextSecure
In an interview Kurt Sauer, the Chief Security Officer of Skype, he said, "We provide a safe communication option. I will not tell you whether we can listen or not."
DND Hackers Pub 31. januar 2011 – Per Thorsheim 24
Hardware:
• ”Spesialtelefoner” med hardware kryptering over datanett
DND Hackers Pub 31. januar 2011 – Per Thorsheim 25
#DLD
DND Hackers Pub 31. januar 2011 – Per Thorsheim 26
Oppsummert – for g33k5…• 2G er ikke bra.• 3G er bra. I dag.• 4G (LTE) ?
• Bare bruk 3G• Bruk VoIP• Bruk SMS
kryptering• Ikke la andre
bruke din telefon
DND Hackers Pub 31. januar 2011 – Per Thorsheim 27
Oppsummert
• Mobiltelefoni er like åpent (eller lukket) som Internett• Brukeropplæring er enda viktigere enn før• Mer teknologi – flere utfordringer