Apple und die Sicherheit

[Quaestor]

Mit dieser Taktik wird dann Apple wohl auf Jahre beschäftigt sein ...

[MacFlieger]

Da diskutier ich sofort mit!   Der Hersteller hat für die Sicherheit seiner Produkte zu sorgen. Ohne viel wenn und aber!

Bei diesem Satz stimme ich Dir zu, allerdings nicht bei der zitierten Stelle.
Das "Sicherheitsupdate" verändert an der prinzipiellen Sicherheit des Systems nichts. Wie auch? Es wird bisher keine Sicherheitslücke im System für Malware ausgenutzt.
Das einzige, was sie unbedingt aktuell machen sollten, ist, die Option fürs automatische Starten von Downloads (ist sogar Voreinstellung!) zu entfernen. Ist meist das erste, was ich deaktiviere. Übrigens wird diese option manchmal bei einem Safari-Update wieder zurückgesetzt!

Ich finde es richtig, dass erkannte Sicherheitslücken von Apple so schnell wie möglich geschlossen werden sollten.
Auf ein Katz- und Mausspiel bezgl. Trojaner sollte sich Apple nicht einlassen. Es ist nicht notwendig und wird auch nie funktionieren. Das einzige erfolgreiche Mittel seitens Apple gegen Trojaner ist, Software-Installationen nur noch über den AppStore zuzulassen. Und das will wohl keiner, oder?

[radneuerfinder]

Wie erwartet:
http://www.macrumors.com/2011/06/02/apple-responds-quickly-to-evolving-mac-defender-threat-with-updated-malware-definitions/

[radneuerfinder]

Dass die iOS Code Sperre (auch mit gutem Passwort) so schlecht schützt, ist mir neu:
http://mobil.macwelt.de/index.cfm?tab=1&article=377199

[radneuerfinder]

Heise Security bestätigt das hier schon diskutierte:
http://www.heise.de/security/meldung/iPhone-Sperre-nahezu-nutzlos-1270786.html

[Florian]

Schutz bietet zwar die Option, einen längeren Pass-Code zu verwenden, was die Knackzeit auf Monate oder sogar Jahre anwachsen lässt. Allerdings ist die Eingabe so unbequem, dass so gut wie niemand diese Möglichkeit nutzt.

Ich bin so gut wie niemand. Vielen Dank für das Lob, Onkel Heise, aber das wusste ich schon.

[Quaestor]

Einer von den übrig gebliebenen 10%?
Wenn ich mir anschaue wieviele Super-DAUs ein iPhone haben, so kann ich die Aussage von Heise nachvollziehen.

[MacFlieger]

Nun ja, Sicherheit ist immer auch eine Frage des Komforts.
Man hat sich hier mal wieder Apple rausgepickt, um das zu demonstrieren. Bringt halt mehr Klicks.

In dem vorliegenden Fall sehe ich keinen echten Fehler in der Implementierung, oder?
Wenn ein kurzes Kennwort benutzt wird, dann ist das immer per Bruteforce angreifbar. Egal welches Betriebssystem, egal welche Methode. Auch wer unter Linux einen TrueCrypt-Container mit einem Kennwort aus 4 Ziffern verwendet, ist leicht knackbar, sobald man Zugriff auf die Hardware hat.
Ein echter Fehler von Apple würde vorliegen, wenn man ohne Brute Force zum Ziel käme oder die benötigten Versuche erheblich reduzieren könnte.

Tja, und hier beisst sich eben Sicherheit mit Komfort. Die meisten werden gar keine Sperre eingestellt haben. Dann noch wenige die "Standard"-Sperre von 4 Ziffern und ganz wenige mehr.

[warlord]

Ja, stimmt alles, Flieger. Bis auf den Punkt, dass man mit Apple einfach und quasi willkürlich eine Firma rauspicke, auf der man dann mit Vorwürfen rumhackt, die überall sonst auch auftreten.

Apple ist immerhin jene Firma, welche diese Brut von Smart-Phones quasi erfunden hat, auf der sich frei programmierbare Apps für jeden Bockmist installieren lassen und die damit die Leute dazu einladen, immer mehr sensible Daten auf ihren Phones mitzutragen bzw. zu bearbeiten. (Eine Diskussion über Banking-Apps war ja auch hier der Renner. Mir sträuben sich die Haare.) Und dabei den Leuten immer nur von schönen neuen Welten vorschwärmt, in denen immer nur die eine Seite der Sicherheit-Komfort-Balance vorkommt - der Komfort. Eine willkürliche Wahl ist Apple da sicher nicht.

Klar, eine Firma, welche Ihre Kunden in technologisches Neuland führen will, streicht logischerweise vor allem die Vorzüge dieses Neulandes hervor. Ab einem gewissen Punkt, wenn man Kunden geradezu zu fahrlässigem Handeln animiert, ohne dabei auf mögliche Gefahren hinzuweisen bzw. eben auch komfortablere Möglichkeiten(*) bietet, diese zu vermeiden, wird es aber durchaus zu einem Problem, das diskutiert und angeprangert gehört. Apple hat in diesen Fragen noch viel zu wenig Gegenwind. Der einzige Wind, den es gibt, sind technologisch nicht fundierte laue Lüftchen. Und die Apple Community reagiert beim Auftreten solcher Lüftchen nach wie vor reflexartig und verteidigt Apple, indem in erster Linie auf den Mängeln im argumentatorischen Fundament dieser Lüftchen rumgehackt wird. Anstatt dass man mithälfe, das Fundament zu verbessern und die Diskussion ernsthafter zu führen und das Lüftchen zum Wind werden zu lassen, den Apple schon länger nötig hätte.

(* Der Einbau technologischer Hilfsmittel zur Benutzeridentifikation (wie z.B. ein Fingerprint-Reader) wäre für Apple IMO ein Klacks. Aber eben, es gälte dann wohl gewisse ästhetische Abstriche zu machen.)

[radneuerfinder]

In dem vorliegenden Fall sehe ich keinen echten Fehler in der Implementierung, oder?

Ok, es gibt kein klassisches Sicherheitloch. Immerhin etwas. Ich halte es aber durchaus für einen Fehler von Apple ein Kennwort aus 4 Zahlen unkommentiert als Voreinstellung anzubieten. Mein Gedanke: "Wenn eine große, für Qualität bekannte, Computerfirma das vorschlägt, wird es schon genügend Sicherheit bieten. Zumindest genausoviel wie die 4stellige PIN meiner EC Karte." Womit wir beim zweiten Punkt (Fehler?) wären. Sollte und müsste eine BruteForce Attake nicht sehr viel mehr erschwert sein?

Überhaupt ist das Verriegeln des kompletten Zugangs zum Gerät (iPhone, Mac) nach meiner Beobachtung beim Nutzer ziemlich unbeliebt. Nachgefragt ist eher einzelne Bereiche, innerhalb von Emails, Dokumenten, Fotos, oder einzelne Programme, etc., wegzuschließen. Ich scheue mich nicht, dieses Nichtbeachten des Menschen einen Fehler zu nennen, der in der Praxis die Sicherheit deutlich herabsetzt.

Mit dem Komfort hast Du natürlich recht. Aber auch da könnte man bestimmt was machen. Wie wärs mit einem Wegfall der Kennwortabfrage im heimischen WLAN?


Insofern kann und möchte ich Warlords Beitrag unterschreiben.

[Quaestor]

Das man sich immer wieder gerne Apple rauspickt stimmt allerdings.

[warlord]

Wen sonst, als den Grössten und die treibendste Kraft, sollte man sonst rauspicken? Alles andere wäre doch unfair. Apple ist nunmal nicht mehr der kleine Underdog, den sie einst waren. Kritik an Apple ist nicht mehr ein Einschlagen auf einen wehrlos am Boden liegenden. Apple, als treibendstes und mittlerweile grösstes IT-Unternehmen, ist IMO durchaus der richtige Adressat für die Kritik. Aber das scheinen viele Apple-User noch nicht so zu sehen. In den Köpfen scheint immer noch das Bild des Underdogs verankert zu sein. Und diese Wahrnehmung erlaubt es Apple, Dinge zu tun oder zu lassen, die sich kein anderes Unternehmen dieser Welt leisten könnte und sich wie ein Riesen-Baby zu gebärden. Als Wonne-Proppen, der durchaus in der Lage ist, Freude zu bereiten, aber unfähig, Verantwortung zu übernehmen.  Und sie (die Wahrnehmung) richtet derzeit IMO einigen Schaden an...

[Florian]

Habe den Artikel in Gänze gelesen, und hoffe ich habe ihn verstanden. Wenn ja, dann gilt:

Per im Wartungsmodus untergeschobener, manipulierter Firmware kann man sich Root-Zugang erschleichen und alle nicht speziell gesicherten Daten im Klartext auf den angeschlossenen Rechner kopieren.
Mit einem weiteren Trick geht das auch mit der Keychain. Alles ohne Passcode!

Ausnahme sind nur speziell verschlüsselte Daten, dieses Feature hat Apple ja mit iOS 4 (glaube ich) eingeführt, bis heute betrifft das aber nur POP/IMAP-Emails. Nur ganz wenige Dritthersteller nutzen die Funktion.
Aber das Passwort für den Account hat der Cracker schon.

Fehler von Apple:
Im Boot ROM ist ein Bug, den ja auch die Jailbreaker nutzen. Den kann Apple nicht per SW-Update beseitigen. Nur das iPad 2 ist nicht betroffen. Dadurch kommt die Mal-Firmware herein.

radneuerfinder muss ich korrigieren : Grundeinstellung ist nicht Einfacher Passcode, sondern gar keiner! Klar eine ganz schlechte Idee.

Ratschläge:
Komplizierte Passcode, Backups verschlüsseln, Löschung bei Fehlversuchen aktivieren, Bei älteren Geräten den „Datenschutz“ über Restore aktivieren. Finden/Fernlöschung per Mobileme (diese Funktion ist ja auch kostenlos) einrichten.

Damit erschwert man es normalen Findern, zum Spaß mal reinzuschauen. Bei Dieben dünkt mir folgendes: Die einen haben kein Interesse an den Daten und löschen das Gerät sowieso. Die anderen/beide nehmen eh gleich die SIM raus.


Zur Apple/Medien-Diskussion:
Klar ist Apple Marktführer und insofern interessant für viele Käufer. Klar ist aber auch, dass man mit Apple-Themen viel mehr Leser hat als mit anderen. Nicht umsonst teast uns Heise mit dem Kurzartikel zum Kauf des Hefts.

warlord: Die c't hatte auch schon öfters Fingerabdruck-Scanner im Test. Sind i.d.R. mit simplem Trick zu  überwinden. Gerade auf dem iPhone sehe ich den Fingerabdruck ja schon so… 

Ich halte es für ziemlich wahrscheinlich, dass man ein Gerät nur sehr schwer gegen Angriffe schützen kann, wenn es mal in den Händen eines Crackers ist. Das gilt natürlich auch etwa für Macs, ich sage nur Firewire/USB/Thunderbolt. Ein Smartphone kommt aber noch leichter abhanden, deshalb sollte sich Apple hier wirklich den Allerwertesten aufreißen um möglichst viel Sicherheit herzustellen.
Ob das ohne arge Komfortverluste geht, stelle ich in Frage.

Und: Ja, die Benutzer müssen sich überlegen, welche Daten sie mit sich rumtragen wollen! Und welchen Apps sie vertrauen. iControl z.B. fiel mal wieder unangenehm auf.

[Florian]

In den Köpfen scheint immer noch das Bild des Underdogs verankert zu sein. Und diese Wahrnehmung erlaubt es Apple, Dinge zu tun oder zu lassen, die sich kein anderes Unternehmen dieser Welt leisten könnte. Und sie (die Wahrnehmung) richtet derzeit IMO einigen Schaden an...

Da gehe ich einig!

Man sollte halt z.B. nur nicht den Eindruck erwecken, Android sei sicherer, weil die Schlagzeilen nicht so groß sind. Aber der c't kann man das nicht vorwerfen, auch wenn sie natürlich gerne über Apple berichten (mittlerweile).
Der Rest liegt beim Leser.

[warlord]

warlord: Die c't hatte auch schon öfters Fingerabdruck-Scanner im Test. Sind i.d.R. mit simplem Trick zu  überwinden. Gerade auf dem iPhone sehe ich den Fingerabdruck ja schon so…

Natürlich gibt es da Übles auf dem Markt. Aber wenn Apple das Thema Sicherheit endlich mal ernst nehmen und als Punkt wahrnehmen würde, der von Anfang an in den Entwicklungsprozess einfliessen, und nicht erst am Schluss noch als lästiges Anhängsel aufgepfropft werden muss, dann dürfte man von Apple doch wohl auch bezüglich Sicherheit endlich mal jene Innovationen erwarten, für welche die Firma doch sonst so berühmt ist. Oder nicht?