Security Hardening Guideline

Security Hardening Guideline
iOS Smartphone
Questo rapporto contiene le linee guida per la configurazione ed un uso sicuro degli
smartphone Apple iOS.
Le raccomandazioni indicate, valide fino alla versione 6.0 di iOS, fanno riferimento alle
impostazioni delle funzionalità di sicurezza che andrebbero abilitate sugli smartphone
per:
 Migliorare la protezione dell'accesso ai dati in esso memorizzati.
 Limitare l'esposizione di dati personali e controllarne, laddove possibile, l'utilizzo da
parte delle applicazioni.
 Limitare attacchi via interfacce di rete.
 Monitorare le applicazioni installate.
Per ciascuna configurazione viene indicata la minaccia di sicurezza che essa intende
mitigare o prevenire e il percorso di configurazione, sottolienando però che quest'ultimo
può variare in base alla versione del Sistema Operativo installato.
Linee guida v1.0
1
Access Control
Minaccia indirizzata
1.1
Configurare un passcode sul terminale (non abilitato di default) (Impostazioni->
Generali->Blocco con codice e poi selezionare "Abilita codice")
Perdita di dati riservati
1.2
Disabilitare il passcode di tipo "semplice" e settare un codice alfanumerico
(almeno 8 caratteri) (Impostazioni->Generali->Blocco con codice e poi
deselezionare "Codice semplice")
Perdita di dati riservati (attacco di
brute force al PIN)
1.3
Configurare l'auto-lock (blocco automatico) del dispositivo (ad es. dopo 1 minuto di Compromissione terminale; accesso
inattività) (Impostazioni->Generali->Blocco automatico)
dati riservati
1.4
Aggiornare periodicamente il passcode (azione lasciata a carico dell'utente)
1.5
Impostare l'opzione "Richiedi Codice" al valore "Subito" (Impostazioni-> Generali-> Compromissione terminale; accesso
Blocco con codice->Richiedi codice e poi selezionare "Subito")
dati riservati
1.6
Disabilitare la visualizzazione di sms quando il terminale è bloccato (non abilitato
di default) (Impostazioni->Notifiche->Messaggi e poi disabilitare 'Mostra
anteprima')
1.7
Disattivare i comandi vocali quando il terminale è bloccato (non abilitato di default)
(Impostazioni->Generali->Blocco con codice e poi disabilitare "Composiz. Vocale" Frodi (es. chiamate)
e/o "Siri")
1.8
Abilitare il wipe del telefonino nel caso in cui per 10 volte consecutive venga
inserito un passcode errato (non abilitato di default) (Impostazioni-> Generali->
Blocco con codice e poi selezionare "Inizializza dati")
Attacco di brute force al passcode
1.9
Cancellare periodicamente la Cache della keyboard (Impostazioni-> Generali->
Ripristina)
Perdita di dati riservati
1.10
Utilizzare l'utility di iOS "iPhone Configuration Utility" per configurare maggiori
funzionalità di sicurezza per il controllo dell'accesso (history, validità temporale del Perdita di dati riservati
passcode, ecc…)
2
Perdita di dati riservati (attacco di
brute force al PIN)
Esposizione di informazioni riservate,
quali codici di autenticazione (es.
credenziali bancarie)
Data Protection
Minaccia indirizzata
2.1
Verificare che sia abilitata la cifratura dei dati sul terminale dopo che è stato
configurato il passcode
Perdita di dati riservati
2.2
Disabilitare la sincronizzazione automatica con iCloud, preferendo quella manuale Violazione privacy (maggiore controllo
e, eventualmente, iTunes per quella automatica
del dispositivo)
2.3
Disabilitare il backup automatico con iCloud preferendo quello manuale e
configurando quello automatico con iTunes (Impostazioni->iCloud-> Backup di
iCloud)
Violazione privacy (maggiore controllo
del dispositivo)
2.4
Abilitare la cifratura dei file di backup con iTunes
Perdita di dati riservati
2.5
Abilitare il Blocco PIN della scheda SIM (Impostazioni->Telefono->PIN SIM)
Frodi (es. chiamate)
2.6
Disabilitare l'invio di dati ad Apple per scopi di diagnostica (Impostazioni ->
Generali->Info->Diagnosi e uso e poi selezionare "Non inviare")
Violazione privacy (maggiore controllo
del dispositivo)
2.7
Configurare iCloud per utilizzare le funzionalità di controllo remoto del terminale
(wipe, lock, ...) (su iPhone seguire Impostazioni-> Localizzazione->Trova il mio
iPhone, altre opportune configurazioni dovranno essere svolte anche su iCloud)
Perdita di dati
2.8
Disabilitare il Tracking della localizzazione per le applicazioni e i servizi che non si
Violazione privacy
vuole che li utilizzino (Impostazioni->Localizzazione)
2.9
Controllare (attivando la visualizzazione di una notifica nella barra dei menù)
quando un servizio usa i dati di localizzazione (Impostazioni-> Generali->
Restrizioni->Posizione e Impostazioni->Notifiche)
Violazione privacy
2.10
Disabilitare su base applicazione l'accesso alle informazioni private (calendario,
contatti, promemoria, ecc..)
Perdita di dati
2.11
Attivare le restrizioni per controllare quando e a quali dati privati hanno acceduto le
Perdita di dati
applicazioni autorizzate (Impostazioni->Generali->Restrizioni)
2.12
Attivare le restrizioni per evitare modifiche involontarie alle impostazioni di Privacy,
ad es. relative alla posizione/localizzazione e account (mail, contatti, calendar)
Violazione privacy
(Impostazioni->Generali->Restrizioni)
2.13
Disabilitare i servizi di localizzazione per l'applicazione fotocamera (Impostazioni->
Violazione privacy/previene
Localizzazione e spostare su OFF l’interruttore relativo all’applicazione
geotagging
Fotocamera)
2.14
Disabilitare l'Ad Tracking (abilitata di default) (Impostazioni-> Generali-> Info->
Promozioni)
Violazione privacy
Network Security
Minaccia indirizzata
3.1
Disabilitare l'interfaccia Bluetooth quando non è utilizzata (Impostazioni ->
Generali-> Bluetooth)
Prevenire messaggi unsolicited, furto
di informazioni sensibili
3.2
Disabilitare l'interfaccia Wi-Fi quando non è utilizzata (Impostazioni-> Generali->
Rete->Wi-Fi)
Attacchi via interfaccia Wi-Fi
3.3
Disabilitare l'opzione "Hot Spot Personale" quando non necessaria (Impostazioni - Rischi legati alla condivisione
> Generali->Hotspot personale)
dell'accesso Internet
3.4
Disassociare la rete Wi-Fi a cui il terminale è stato connesso di modo che non vi
acceda in automatico (Impostazioni->Generali->Rete->Wi-Fi, selezionare la freccia Attacco via reti Wi-Fi fake
a destra della rete da disassociare e, quindi, cliccare su "Dissocia questa rete")
3.5
Non bloccare il terminale su rete mobile 2G (Impostazioni->Generali-> Rete e poi
selezionare "Abilita 3G")
Rischi legati alla rete 2G
3.6
Abilitare l'uso del protocollo SSL per la mail (Impostazioni->Posta, contatti,
calendari->Account->Usa SSL)
Violazione privacy
3.7
Disabilitare l'opzione che consente di accettare certificati TLS non fidati senza
chiedere il consenso dell'utente (tramite l' "iPhone Configuration Utility" con il
meccanismo delle restrizioni)
Connessione a siti fake
3.8
Disabilitare il Ping tramite il meccanismo delle restrizioni (Impostazioni-> Generali Attacchi via rete
> Restrizioni)
3.9
Disabilitare il roaming dati quando non necessario (Impostazioni->Generali-> Rete
Frodi
e disabilitare "Roaming dati")
3
4
Application Security
Minaccia indirizzata
4.1
Attivare la funzione di "Fraud Warning" in Safari (se non attiva di default)
(Impostazioni->Safari->Avviso di frode)
Prevenzione infezione da malware
4.2
Disabilitare l' "AutoFill" in Safari (Impostazioni->Safari->Riempimento autom.)
Previene il caching di informazioni
sensibili (es. password)
4.3
Disabilitare i "pop-up" in Safari (Impostazioni->Safari->Blocco pop-up)
Pop-up maligni/ malware
4.4
Disabilitare i "cookie", consentendoli solo per i siti visitati (Impostazioni-> Safari->
Accetta cookie e poi selezionare "Da visitati")
Prevenzione infezione da malware
4.5
Mantenere aggiornato il terminale alle ultime release software (azione lasciata a
carico dell'utente) (Impostazioni->Generali->Aggiornamento Software)
Exploit di vulnerabilità note
4.6
Verificare che in applicazioni come Mail, Contatti e Calendario sia disabilitata
l'opzione di caricare immagini da remoto (Impostazioni-> Posta, contatti,
calendario->Carica immagini)
Prevenzione infezione da malware
4.7
Non eseguire il jail break del dispositivo e non installare applicazioni da market
non ufficiali
Prevenzione infezione da malware
4.8
Rimuovere le applicazioni non più in uso (azione lasciata a carico dell'utente)
Previene vulnerabilità causate dalle
applicazioni