订阅移动开发RSS CSDN首页> 移动开发

2012 MDCC移动与云安全:应用热潮升级安全战斗

发表于2012-10-23 15:16| 次阅读| 来源CSDN| 0 条评论| 作者郭雪梅

摘要:移动应用的技术热潮,将云安全再次推上风口浪尖。安全缺陷、嵌入式开发、移动反病毒、应用集成、SaaS服务、软件版权保护等,数位来自欧美的顶级安全技术专家与国内一线安全开发者齐聚一堂。在“移动开发者大会·中国2012”(2012 MDCC)的“移动与云安全”专场中,五位讲师带来了“Android安全漏洞及其...

移动应用的技术热潮,将云安全再次推上风口浪尖。安全缺陷、嵌入式开发、移动反病毒、应用集成、SaaS服务、软件版权保护等,数位来自欧美的顶级安全技术专家与国内一线安全开发者齐聚一堂。在“移动开发者大会·中国2012”(2012 MDCC)的“移动与云安全”专场中,五位讲师带来了“Android安全漏洞及其攻击方法的深度剖析、云端敏感数据的加密与密钥管理、BYOD与企业邮件安全管理、企业级移动安全技术框架解析与云WAF的安全机遇与挑战”等国内外安全领域中最佳的经验分享与顶级的趋势分析。

2012 MDCC之移动与云安全五位嘉宾进行主题演讲

 

肖梓航:十大Android应用漏洞案例分析

安天实验室高级安天实验室高级研究员 肖梓航

研究员肖梓航在题为“Android安全漏洞及其攻击方法”的演讲中,图文并茂,代码密集。随着移动应用日益火爆,CVE数据和乌云统计出的基于Android的安全漏洞越来越多,出现安全问题的企业名单越拉越长,甚至连中国移动、腾讯、百度、联想、搜狐、网易等知名企业也榜单高挂。为此,他归总出Android应用漏洞10种威胁,并进行举例分析。这十大威胁是:外部存储;内部存储;传输问题导致数据泄露和会话劫持;数据验证问题导致客户端注入;代码验证问题导致代码执行;登陆认证问题导致非法访问;(Android所独有的)组件暴露导致能力泄露;旁路数据泄露;密码学算法使用不当等。 

针对这些安全问题,肖梓航认为原因主要来自三个方面:其一是没有感受到威胁;其二是安全知识和实践经验不足,比如系统安全机制和特性、攻击者的方法和能力,软件安全防范方案,安全开发和测试流程;其三是缺乏问题的判断标准。所以,要解决这些问题,不仅从技术角度,也要从企业整体安全开发和运营角度深入分析,尽量减少安全隐患。这其中,安全从业者需要多向微软学习,尽管Windows系统被被攻击利用安全漏洞最多,但是从开发角度来看,将安全需求加进来,提前预测安全问题,创建相应的标尺,在设计阶段做威胁建模和攻击方法的分析,代码实现做测试,发布做运营的安全。对比传统开发模式,则要多涉及两个步骤:其一是安全培训,其二是对于包含安全测试、代码审计,漏洞挖掘、渗透测试在内的综合安全系统的构建与全访问的实践。

Alex Berlin:云端敏感数据需要加密与密钥管理

Afore Solutions创始人兼CEO Alex Berlin

在Afore Solutions创始人兼CEO Alex Berlin的演讲中,其反复强调这样一个概念,“企业端密钥必须由企业来把握,这是云安全的根本与基础”。Alex Berlin认为,基于云的存储一定是下一代主流存储方式,在多租户环境中,每一个租户的数据如何安全保护很重要。数据非法访问,法规和商业合规标准,使得传统加密方式在多租户中不一定合适。为此,Afore Solutions设计了一套可以在多云环境中拥有良好适应能力CloudLink方案。

在他看来,经历多年发展,虚拟化环境已经成熟。国际上看,很多大型数据中心已经服务于云计算,作为数据整合的大平台,敏感数据尤其是移动中的敏感数据的加密与保护就变得更为重要。举个例子来看,产生于终端的数据要进入虚拟机,写在磁盘上,控制企业间以及云平台之间的沟通与对话,确保传输过程的数据完整性,这其中有不同层面的安全防护。而对于企业而言有一个原则必须要遵守,那就是“密钥必须得由企业掌握。因为如果放到云端,那么一旦云受到恶意攻击,密钥肯定会被破解,造成的损失无法预估。所以,密钥绝对不能放在云端,必须放在企业手里,如同保险箱一样。”

CloudLink支持多云平台间切换,主要是为了满足对同一个企业的不同部门,或者不同企业对云平台的完全不同的需求。比如开发部门需要开源云,业务部门需要相对封闭的平台。而对于企业而言,Afore Solutions有能力为企业用户管理他们的密钥,并按照标准微软指定的方式储存密钥。云环境以及移动环境将催生更多的数据,企业需要更多安全和全面的防护方案。

王志海:构建企业级移动安全SDK

明朝万达董事长 王志海

3G时代带来了更多的新应用,从最初的少量信息查询到现在身份证识别,从利用移动端接收邮件到与诸多行业信息交互,还有视频存储、无线部署以及其他企业端应用的发展速度非常快。明朝万达董事长王志海表示,企业端希望更多APP或者说基于HTML5开发更多交互式应用。

明朝万达致力于企业端安全应用,十年来经历了主要三种方式:一种通过APP方式,把其中流程审批通过APP做一个接口在手机上用;第二种是虚拟化方式,通过虚拟化把传统IT应用移动化,纯粹为了移动化,没有更多考虑移动设备和特性在里边,所以现在有用户考虑如何通过移动设备内置特性来推动传统IT应用,整合应用特点;第三种方式是阶段重构,移动中间件厂商需要将部分移动数据迁移与传统的PC、虚拟化、云计算的终端等所有业务系统进行整合。

企业端更为重视数据安全。比如防止盗号,手机丢失如何处理,安全机制如何设置等。仅从技术层面来看,个人开发者更多会关注系统、Wifi接入、无线方式以及接入3G基站是不是可信等问题,而企业开发者则更为关注身份安全、传输安全、储存安全、终端安全等。

具体来看,企业移动安全技术框架在上面这四点的基础上,要构建起企业级移动安全SDK,进而通过远程调用、设备管理、证书、阅读器、认证和加密手段实现安全。而在企业级应用中,需要注意:第一建立通道,企业级应用不愿意直接暴露公网;第二传输加密,防止网络窃听等问题;第三网络控制,内网可能很多应用需要访问控制。

随着未来移动与方向感知、云端存储等新领域的结合,移动安全还将有更多的发展。

Anthony Turco:BYOD带来企业邮件安全管理新挑战

LetMobile公司亚太区副总裁Anthony Turco

LetMobile公司亚太区副总裁Anthony Turco在演讲中表示,手机对人们而言越来越重要。而在手机应用中,邮件占据了相当的地位。这就带来了邮件安全管理方面的问题。人们希望在不影响或者说不改变使用习惯的情况下,享受移动端安全,这对网管提出了更高要求。

因为“如果安全方案或者操作使得用户通过移动终端发送邮件变得麻烦,那么用户就会非常憎恨你。”所以,LetMobile通过部署在系统内部的一段简短程序或SaaS服务来帮助企业实现高效地安全管理。重要的是,LetMobile既不会预留任何电子邮件内容,也不会记录企业证书,完全屏蔽了通过终端丢失/被盗数据的可能性。

对于企业所关注的安全应用,MDM被用来管理高度敏感性设备,LetMobile则可以用来帮助企业管理BYOD和敏感度一般的信息。

吴翰清:互联网安全的引爆点即将到来

安全宝联合产品副总裁 吴翰清

在安全宝联合产品副总裁吴翰清关于“云WAF的安全机遇与挑战”的演讲中,观点更为鲜明。在他看来,互联网的争夺就是对屏幕制高点的争夺,无论是手机屏、平面屏,智能电视屏还是PC屏,甚至近期所提出的Google眼镜屏,其核心都是一个,那就是“眼球”上的争夺。不过,当这些屏都共用一个后端——云端的时候,攻击面变得更大,安全也就变得更加重要。

目前移动互联网面对的安全风险主要来自以下几个方面:

1.恶意App,苹果也发现了第一款恶意App应用。众所周知,APPStore审核相对严格,但是也不能幸免。而开放的Android就更为混乱了,盗口令、盗流量司空见惯。

2.手机木马,比如黑客通过“X卧底”能够查看所有手机短信并打开摄像头使你的手机变成窃听器,这样的木马现在已经越来越多。

3.短信欺骗。以纯文本方式或者PDU方式伪装,篡改号码,或进行诈骗等。

4.钓鱼。手机平台钓鱼会比PC平台更简单,因为手机浏览器会默认,所以也很危险。

5.二维码。将二维码编程网页,进行扫描的时候就中了木马,虽然可以进行URL安全认证,但在云端发现问题并推送解决方案到用户端的时候,已经造成损失了。

6.点击劫持。一个正常网页上面覆盖透明的网页,这个就是点击劫持欺骗用户点击行为。比如iPhone提示新的短信,但是这个屏幕上覆盖透明的浏览器窗口,实际打开另一个网站。

7.手机NFC安全。在今年Pwn2own2012年三星galaxy S3,黑客只要从你身边经过,直接给你手机植入一个木马,盗窃所有的短信、图片。三星这款手机默认开启打开文档的功能,默认把传过来文档打开,但是这个功能存在一个漏洞,这个漏洞可以利用,被黑客植入可视性程序。

8.DDOS/CC攻击。

这些安全漏洞最直接的是影响了手机支付。还有Html5让开发更简单也让黑客更强大,有的黑客甚至可以利用Html5技术把黑客技术写的更加美好,当然危害更大。当看清楚这些,吴翰清认为,互联网安全的引爆点尚未到来。而当电商钓鱼、电商诈骗泛滥,黑色产业链成型之后,整个移动互联网安全体系需要从端到云、从手机端到云都有不同的产品来满足需求。这就需要云WAF(Web Application Firewall),也是安全宝帮助用户实现零部署、零维护的安全方案。

2012年MDCC之移动与云安全论坛已经结束,但是对于移动互联网与云计算环境中的安全的研讨还这只是刚刚开了头, 生活与工作界限的模糊,后台与前端的交融,留给安全的挑战越来越大,期待业内有更多安全创意,在与黑客的对决中,获得胜利。

0
0
2012 MDCC移动与云安全:应用热潮升级安全战斗
  • CSDN官方微信
  • 扫描二维码,向CSDN吐槽
  • 微信号:CSDNnews
程序员移动端订阅下载

微博关注

相关热门文章