MOBĐL UYGULAMALARDA GÜVENLĐK

Transkript

1 TBD Kamu-BĐB Kamu Bilişim Platformu XI II. Belge Grubu MOBĐL UYGULAMALARDA GÜVENLĐK 11 NĐSAN 2009, ANTALYA

2 AKIŞLA ĐLGĐLĐ Giriş ve Rapor Kapsamı Mobil Teknolojileri ve Güvenlik Mobil Uygulamalarda Güvenliğin Sağlanmasındaki Sorunlar Günümüzdeki Mobil Uygulama Tehditleri ve Riskler Mobil Uygulama Standart ve Çalış ışma Grupları Türkiye Mobil Uygulamaları Mobil Uygulamalarda Güvenlik Đçin Öneriler Soru ve Cevaplar 2/16

3 GĐRĐŞ ĐŞ VE RAPOR KAPSAMI Mobil Uygulama: Taşınabilir cihaz ve kablosuz iletişim ortamlarını kullanan bilgisayar uygulaması Mobil uygulamaların koştuğu mobil cihazların güvenliği Mobil uygulamanın güvenliği Sunucu bileşenleri Đstemci bileşenleri Ara bileşenler Mobil uygulamanın kullandığı mobil teknolojilerin güvenliği Mobil uygulama güvenliğinin tehditleri, korunmasızlıkları, risk ve önlemleri 3/16

4 MOBĐL TEKNOLOJĐLER VE GÜVENLĐĞĐ Kuşak Teknolojiler Açıklama 2 Kuşak GSM, CDMA, TDMA 2 ½ Kuşak GPRS/EDGE 3. Kuşak UMTS 4. Kuşak UMTS, IEEE , EDGE, 3PPP Sürüm 10 SMS ve WAP teknolojileri 2001 yılında, hız ve daha geniş servis özelliği 2002 yılında, Geniş bant mobil veri iletişimi özelliği 2012 yılından sonra, IP temelli, yüksek hızlı (100Mbit/s ve 1 Gbit/s) ve yüksek kaliteli Đnternet hizmetleri 4/16

5 MOBĐL TEKNOLOJĐLER VE GÜVENLĐĞĐ 2 ve 2.5 Kuşak Teknolojiler GSM, CDMA, TDMA, GPRS/EDGE Uygulama ve servisler: SMS ve WAP üzerinden bilgi iletişimi, kısıtlı bankacılık uygulamaları, kısıtlı ve düşük hızlı Đnternet uygulamaları Güvenlik: SIM Kimlik Tanımlama Kullanıcı Kimlik denetimi seçimli ve Mobil şebekesi tarafından Veri ve kullanıcı gizliliği (şifreleme ve kısa oturum anahtarı problemleri) 5/16

6 MOBĐL TEKNOLOJĐLER VE GÜVENLĐĞĐ 3. ncü Kuşak Teknolojiler UMTS Uygulama ve Servisler: Yaygın ve yüksek hızlıđnternet Uygulamaları Güvenliği: Mobil Telekom Ağı Güvenliği IP güvenlik servisleri (Gizlilik, bütünlük) SS7 Đşaretleşme güvenliği ( Bütünlük) Mobil Telekom Ağı Erişim Güvenliği Kullanıcı Kimliğinin Gizliliği (Geçici ve Daimi Mobil Kimlik Tanımlayıcıları) Kimlik denetimi ve anahtar yönetimi (AAA desteği) Veri güvenliği Đşaretleşme mesajı güvenliği Kullanıcı ve Uygulama bazında güvenlik 6/16

7 MOBĐL TEKNOLOJĐLERĐ VE GÜVENLĐĞĐ WIFI Cihaz uyumluluk standardı WEP, WPA, WPA2 şifreleme x kimlik yetkilendirme WIMAX IEEE e:2005 Çoklu anten MIMO, daha yüksek hız AES simetrik anahtar ve RSA anahtar değişimi Merkezi Kimlik Denetimi ( RADIUS,.) Kullanıcı erişim kontrol, gizlilik, bilgi tutarlığı 7/16

8 GÜVENLĐĞĐ ĐĞĐN SAĞLANMASINDA PROBLEMLER Cihaz Kısıtları Kablosuz Đletişim Kısıtları Mobil uygulamanın kontrol edilmeyen çok tarafa gereksinim olması Kullanıcının gezici olması Güvenlik standartların olgunlaşmaması Kullanıcı ve kurumsal güvenlik farkındalığının yetersizliği 8/16

9 MOBĐL UYGULAMA GÜVENLĐK RĐSK ve ÖNLEMLERĐ Tehditler Zararlı yazılımlar SPAM SMishing atakları DoS Saldırıları MobiSpy atakları Hırsızlık Klonlama Elektronik takip ve dinleme 9/16

10 MOBĐL UYGULAMA GÜVENLĐK RĐSK ve ÖNLEMLERĐ Korunmasızlıklar Mobil cihazın özelliği Kullanıcı ve kurumsal güvenlik farkındalığı yetersizliği Mobil uygulama sistem yazılımlarındaki korunmasızlıkları Mobil uygulamanın güvenlik zafiyetleri... 10/16

11 MOBĐL UYGULAMA ÖNLEMLERĐ Fiziksel Koruma Kullanıcı Kimlik Denetimi Veri yedekleme Güvenlik ürünleri kullanma Kullanıcı ve Kurumsal Güvenlik Bilinci Uygulama Geliştirme için güvenlik gereksinim tespiti ve testler Mobil Uygulama Güvenlik Politikalarının devreye alınması Mobil Uygulama Güvenlik Risk Yönetiminin devreye alınması Kritik uygulama modüllerinin küçültülmesi Veri iletişiminde güvenli protokol kullanımı Veriye erişiminde güvenli erişim kanalları 11/16

12 ÖNEMLĐ ÇALIŞMA GRUPLARI VE ORGANĐZASYONLAR Genelde işlevsellik konusunda GSMA ( GSM Kuruluşu) Mobil Uygulama Güvenliği (MAS) OMTP Cihaz güvenliği, AAA kullanımı, Güvenlik Risk Değerlendirmesi,.. NIST ETSI Güvenlik şifreleme algoritmaları, kimlik denetim ve gizlilik 12/16

13 TÜRKĐYE MOBĐL UYGULAMALARI M-Devlet Uygulamaları UYAP Mobil Hizmetleri Mobil Bilgi Projesi ( MEB) MOBESE Projeleri ( Emniyet Müdürlüğü) Coğrafi Bilgi, Araç Takip,... Đlk Yardım ve Acil Sağlık ( Belediyeler)... Mobil Ödeme Sistemleri ( Bankalar) Uygulamalarda Mobil Đmza kullanımı 13/16

14 ÖNERĐLER Güvenlik Risk Yönetimi Mobil Güvenlik Politikalarının devreye alınması Kullanıcı ve Kurumsal Güvenlik Farkındalığı Yeni ve güvenli mobil iletişim teknolojilerinden yararlanma Güvenlik ürünlerinin kullanımı Sabit uygulama ortamlarının güvenliğinin sağlanması Sürüm ve Yama Yönetimi Güvenli algoritmalarla şifreleme Mobil cihazların güvenliği 14/16

15 BĐTĐRĐRKEN... Mobil uygulamalar yaygınlaşmaktadır. Yeni mobil teknojilerinden yararlanırken sadece işlevselliği değil güvenliği de göz önüne almalıyız. 15/16

16 SORULAR SORU-1: Mobil uygulamalarda güvenliğin sağlamasında riskler nelerdir? SORU-2: Hızlı değişen mobil teknolojileri ile uyumluluğu sağlamak için mobil uygulama güvenlik gereksinimlerinde hangi konulara önem vermeliyiz? 16/16

17 Teşekkürler... 16/16