BlackBerry Whitepaper: Warum das BlackBerry OS10 das sicherste OS ist

Auszug aus: Blackberry Enterprise Whitepaper

Das Betriebssystem ist wohl die wichtigste Komponente der Sicherheit mobiler Geräte, aber es wird oft übersehen. Anders als Sicherheits-Tools, Bedienelemente und Funktionen oder Unternehmens-Sandboxes, ist die Sicherheit des Betriebssystems in der Regel für den Beobachter undurchsichtig. Betriebssystem-Quellcode wird typischerweise nicht veröffentlicht. Wenn er veröffentlicht wird, ist es schwierig die Sicherheit von Millionen von Codezeilen zu bewerten.

In erster Linie basiert BlackBerry 10 auf dem QNX Microkernel. Was bedeutet dies für die Benutzer? Es bedeutet mehrere Sicherheitsvorteile. Auch zu lesen im BB10QNX Artikel:
Microkernel: Für Embedded Systeme die bessere Wahl

Die Sicherheitsvorteile des QNX Microkernel
Er enthält weniger Code (etwa 150.000 Zeilen):

  • Dies bietet nur wenig Platz für Sicherheitslücken und Sicherheitsüberprüfung und die Tests werden einfacher und robuster.

Es ist für die Elastizität entwickelt:

  • Der Microkernel isoliert Prozesse im Anwenderbereich
  • Prozesse, die nicht mehr reagieren, werden neu gestartet ohne Auswirkungen auf andere Prozesse, somit kann das Betriebssystem nicht durch Anwendungen zum Absturz gebracht werden

Es minimiert alle Root Prozesse:

  • Nur die wichtigsten BlackBerry Prozesse werden mit Root-Rechten ausgeführt.
  • Root Prozesse sind nicht für Nicht-BlackBerry-Teile verfügbar. Somit ist das Betriebssystem weniger anfällig für Sicherheitsrisiken.

Microkernel

Inhalt und Beschränkungen:
Anwendung und Malware Steuerung
Der beste Weg, um Ihr Unternehmen vor mobiler Malware zu schützen, ist ein Betriebssystem, das zum Wiederstand gegen diese Malware entworfen wurde. BlackBerry 10 eine ‘contain and constrain’ Design-Strategie, um Malware-Risiken zu mindern.

Der Benutzerbereich läuft in einer Sandbox, dadurch kann BlackBerry 10 bösartiges Verhalten blockieren:

  • Prozesse werden im Benutzerbereich eingeschränkt und der Microkernel überwacht sorgfältig interne Prozesskommunikation.
  • Speicherzugriff des Benutzerbereiches wird durch den Microkernel authentifiziert.
  • Jeder Prozess, der unbefugt Speicher adressieren möchte wird automatisch neu gestartet oder heruntergefahren.

Persönliche Anwendungskontrollen

  • Zugang zu Ressourcen des Benutzerbereiches wird begrenzt und arbeitet auf einer “App-by-App” und “Need-to-have”-Basis.
  • Der Benutzer erhalten die richtigen Informationen zur richtigen Zeit, um eine fundierte Entscheidung über Erteilung von Berechtigungen zu fällen.

Das folgende Diagramm zeigt den Informationsweg und die BlackBerry “Kette des Vertrauens”. Das sichere Verfahren basiert auf Authentifizierung, um Schutz gegen anhaltende Angriffe auf das Betriebssystem und Rootkits aufzubauen.

OS10Aufbau

Nachfolgend ein paar Beispiele für die Sicherheitsmechanismen, die in das Betriebssystem BlackBerry 10 integriert sind, um gegen Angriffe und die Ausführung beliebigen Codes zu schützen.

  • Nicht ausführbare Stack und Heap:
    Stack- und Heap-Speicherbereiche können keinen Maschinencode ausführen, somit Schutz vor Pufferüberläufen
  • Stack Cookies:
    Pufferüberlaufschutz, um Ausführung willkürlicher Codes zu verhindern
  • Address Space Layout Randomisation (ASLR):
    Zufällige Zuweisung eines Prozessadressraumes macht die Ausführung beliebiger Codes schwieriger
  • Compiler-level source fortification:
    Compiler-Option ersetzt wenn möglich unsichere Code-Konstrukte
  • Guard pages:
    Eine Art von Schutz vor Pufferüberlauf und Ausführung beliebiger Codes

Forumsdiskussion

Dieser Beitrag hat 9 Kommentare

Schreibe einen Kommentar