Security Hardening Guideline
Transcript
Security Hardening Guideline
Security Hardening Guideline iOS Smartphone Questo rapporto contiene le linee guida per la configurazione ed un uso sicuro degli smartphone Apple iOS. Le raccomandazioni indicate, valide fino alla versione 6.0 di iOS, fanno riferimento alle impostazioni delle funzionalità di sicurezza che andrebbero abilitate sugli smartphone per: Migliorare la protezione dell'accesso ai dati in esso memorizzati. Limitare l'esposizione di dati personali e controllarne, laddove possibile, l'utilizzo da parte delle applicazioni. Limitare attacchi via interfacce di rete. Monitorare le applicazioni installate. Per ciascuna configurazione viene indicata la minaccia di sicurezza che essa intende mitigare o prevenire e il percorso di configurazione, sottolienando però che quest'ultimo può variare in base alla versione del Sistema Operativo installato. Linee guida v1.0 1 Access Control Minaccia indirizzata 1.1 Configurare un passcode sul terminale (non abilitato di default) (Impostazioni-> Generali->Blocco con codice e poi selezionare "Abilita codice") Perdita di dati riservati 1.2 Disabilitare il passcode di tipo "semplice" e settare un codice alfanumerico (almeno 8 caratteri) (Impostazioni->Generali->Blocco con codice e poi deselezionare "Codice semplice") Perdita di dati riservati (attacco di brute force al PIN) 1.3 Configurare l'auto-lock (blocco automatico) del dispositivo (ad es. dopo 1 minuto di Compromissione terminale; accesso inattività) (Impostazioni->Generali->Blocco automatico) dati riservati 1.4 Aggiornare periodicamente il passcode (azione lasciata a carico dell'utente) 1.5 Impostare l'opzione "Richiedi Codice" al valore "Subito" (Impostazioni-> Generali-> Compromissione terminale; accesso Blocco con codice->Richiedi codice e poi selezionare "Subito") dati riservati 1.6 Disabilitare la visualizzazione di sms quando il terminale è bloccato (non abilitato di default) (Impostazioni->Notifiche->Messaggi e poi disabilitare 'Mostra anteprima') 1.7 Disattivare i comandi vocali quando il terminale è bloccato (non abilitato di default) (Impostazioni->Generali->Blocco con codice e poi disabilitare "Composiz. Vocale" Frodi (es. chiamate) e/o "Siri") 1.8 Abilitare il wipe del telefonino nel caso in cui per 10 volte consecutive venga inserito un passcode errato (non abilitato di default) (Impostazioni-> Generali-> Blocco con codice e poi selezionare "Inizializza dati") Attacco di brute force al passcode 1.9 Cancellare periodicamente la Cache della keyboard (Impostazioni-> Generali-> Ripristina) Perdita di dati riservati 1.10 Utilizzare l'utility di iOS "iPhone Configuration Utility" per configurare maggiori funzionalità di sicurezza per il controllo dell'accesso (history, validità temporale del Perdita di dati riservati passcode, ecc…) 2 Perdita di dati riservati (attacco di brute force al PIN) Esposizione di informazioni riservate, quali codici di autenticazione (es. credenziali bancarie) Data Protection Minaccia indirizzata 2.1 Verificare che sia abilitata la cifratura dei dati sul terminale dopo che è stato configurato il passcode Perdita di dati riservati 2.2 Disabilitare la sincronizzazione automatica con iCloud, preferendo quella manuale Violazione privacy (maggiore controllo e, eventualmente, iTunes per quella automatica del dispositivo) 2.3 Disabilitare il backup automatico con iCloud preferendo quello manuale e configurando quello automatico con iTunes (Impostazioni->iCloud-> Backup di iCloud) Violazione privacy (maggiore controllo del dispositivo) 2.4 Abilitare la cifratura dei file di backup con iTunes Perdita di dati riservati 2.5 Abilitare il Blocco PIN della scheda SIM (Impostazioni->Telefono->PIN SIM) Frodi (es. chiamate) 2.6 Disabilitare l'invio di dati ad Apple per scopi di diagnostica (Impostazioni -> Generali->Info->Diagnosi e uso e poi selezionare "Non inviare") Violazione privacy (maggiore controllo del dispositivo) 2.7 Configurare iCloud per utilizzare le funzionalità di controllo remoto del terminale (wipe, lock, ...) (su iPhone seguire Impostazioni-> Localizzazione->Trova il mio iPhone, altre opportune configurazioni dovranno essere svolte anche su iCloud) Perdita di dati 2.8 Disabilitare il Tracking della localizzazione per le applicazioni e i servizi che non si Violazione privacy vuole che li utilizzino (Impostazioni->Localizzazione) 2.9 Controllare (attivando la visualizzazione di una notifica nella barra dei menù) quando un servizio usa i dati di localizzazione (Impostazioni-> Generali-> Restrizioni->Posizione e Impostazioni->Notifiche) Violazione privacy 2.10 Disabilitare su base applicazione l'accesso alle informazioni private (calendario, contatti, promemoria, ecc..) Perdita di dati 2.11 Attivare le restrizioni per controllare quando e a quali dati privati hanno acceduto le Perdita di dati applicazioni autorizzate (Impostazioni->Generali->Restrizioni) 2.12 Attivare le restrizioni per evitare modifiche involontarie alle impostazioni di Privacy, ad es. relative alla posizione/localizzazione e account (mail, contatti, calendar) Violazione privacy (Impostazioni->Generali->Restrizioni) 2.13 Disabilitare i servizi di localizzazione per l'applicazione fotocamera (Impostazioni-> Violazione privacy/previene Localizzazione e spostare su OFF l’interruttore relativo all’applicazione geotagging Fotocamera) 2.14 Disabilitare l'Ad Tracking (abilitata di default) (Impostazioni-> Generali-> Info-> Promozioni) Violazione privacy Network Security Minaccia indirizzata 3.1 Disabilitare l'interfaccia Bluetooth quando non è utilizzata (Impostazioni -> Generali-> Bluetooth) Prevenire messaggi unsolicited, furto di informazioni sensibili 3.2 Disabilitare l'interfaccia Wi-Fi quando non è utilizzata (Impostazioni-> Generali-> Rete->Wi-Fi) Attacchi via interfaccia Wi-Fi 3.3 Disabilitare l'opzione "Hot Spot Personale" quando non necessaria (Impostazioni - Rischi legati alla condivisione > Generali->Hotspot personale) dell'accesso Internet 3.4 Disassociare la rete Wi-Fi a cui il terminale è stato connesso di modo che non vi acceda in automatico (Impostazioni->Generali->Rete->Wi-Fi, selezionare la freccia Attacco via reti Wi-Fi fake a destra della rete da disassociare e, quindi, cliccare su "Dissocia questa rete") 3.5 Non bloccare il terminale su rete mobile 2G (Impostazioni->Generali-> Rete e poi selezionare "Abilita 3G") Rischi legati alla rete 2G 3.6 Abilitare l'uso del protocollo SSL per la mail (Impostazioni->Posta, contatti, calendari->Account->Usa SSL) Violazione privacy 3.7 Disabilitare l'opzione che consente di accettare certificati TLS non fidati senza chiedere il consenso dell'utente (tramite l' "iPhone Configuration Utility" con il meccanismo delle restrizioni) Connessione a siti fake 3.8 Disabilitare il Ping tramite il meccanismo delle restrizioni (Impostazioni-> Generali Attacchi via rete > Restrizioni) 3.9 Disabilitare il roaming dati quando non necessario (Impostazioni->Generali-> Rete Frodi e disabilitare "Roaming dati") 3 4 Application Security Minaccia indirizzata 4.1 Attivare la funzione di "Fraud Warning" in Safari (se non attiva di default) (Impostazioni->Safari->Avviso di frode) Prevenzione infezione da malware 4.2 Disabilitare l' "AutoFill" in Safari (Impostazioni->Safari->Riempimento autom.) Previene il caching di informazioni sensibili (es. password) 4.3 Disabilitare i "pop-up" in Safari (Impostazioni->Safari->Blocco pop-up) Pop-up maligni/ malware 4.4 Disabilitare i "cookie", consentendoli solo per i siti visitati (Impostazioni-> Safari-> Accetta cookie e poi selezionare "Da visitati") Prevenzione infezione da malware 4.5 Mantenere aggiornato il terminale alle ultime release software (azione lasciata a carico dell'utente) (Impostazioni->Generali->Aggiornamento Software) Exploit di vulnerabilità note 4.6 Verificare che in applicazioni come Mail, Contatti e Calendario sia disabilitata l'opzione di caricare immagini da remoto (Impostazioni-> Posta, contatti, calendario->Carica immagini) Prevenzione infezione da malware 4.7 Non eseguire il jail break del dispositivo e non installare applicazioni da market non ufficiali Prevenzione infezione da malware 4.8 Rimuovere le applicazioni non più in uso (azione lasciata a carico dell'utente) Previene vulnerabilità causate dalle applicazioni