Forum

Re: Apple und die Sicherheit
Antwort #375: Juni 26, 2012, 20:35:28
Die Updates bis einschließlich 10.7 sind also laut Apple "unsicher".  :-\

Wie schreibt Heise so schön "Angaben, was damit konkret gemeint sein könnte, machte der Computerkonzern allerdings nicht"
Re: Apple und die Sicherheit
Antwort #376: Juni 27, 2012, 07:49:24
Die Updates bis einschließlich 10.7 sind also laut Apple "unsicher".  :-\

 ???
Wo liest Du das?
In dem Artikel steht:
Zitat
Außerdem verspricht Apple eine "sicherere Verbindung zu Apples Update-Servern". Genauere Angaben, was damit konkret gemeint sein könnte, machte der Computerkonzern allerdings nicht.

D.h. man könnte daraus folgern, dass Apple die vorhergehende Updatefunktion als unsicherer einstuft. Das ist deutlich etwas anderes als unsicher.

Was Apple überhaupt damit meint, ist völlig unklar.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Apple und die Sicherheit
Antwort #377: Juli 04, 2012, 01:06:15
Ein recht banaler Trojaner (Mailanhang) ist anscheinend als Waffe gegen chinesische Oppositionelle im Einsatz, betrifft Windows, und Macs, Intel und PPC: http://www.macworld.com/article/1167542/trojan_targets_chinese_activists_using_macs.html
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.

Florian

  • Verderbliche Ware!
Re: Apple und die Sicherheit
Antwort #381: Juli 28, 2012, 13:32:54
Durfte man wirklich mehr erwarten?
http://www.heise.de/security/artikel/Apple-veraeppelt-Black-Hat-Teilnehmer-1654602.html

Naja, dass man von oben herab was vorliest anstatt wenigstens ein paar Diskussionen zu führen oder Fragen zuzulassen… also ich weiß nicht, was das sollte. Da hätten sie es besser ganz sein lassen.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Apple und die Sicherheit
Antwort #383: Juli 30, 2012, 08:59:53
Durfte man wirklich mehr erwarten?
http://www.heise.de/security/artikel/Apple-veraeppelt-Black-Hat-Teilnehmer-1654602.html

Wenn man Apple kennt, würde man sagen: Nein. Die haben noch nie offen über internes gesprochen.
Allerdings war es auch Unsinn dort mit einem Vortrag teilzunehmen, denn in der Tat wird dort eben mehr erwartet. Das konnte nur schief gehen. Keine Ahnung, was Apple dazu bewogen hat, dort teilzunehmen. Das Ergebnis hätte ihnen klar sein müssen.

http://m.heise.de/security/meldung/EFI-Rootkit-fuer-Macs-demonstriert-1654997.html

Eine schöne Demonstration der Probleme mit Thunderbolt.
Der Titel "für Macs" ist wieder so gewählt, dass er viele Klicks produziert. Das Problem hat nur insofern etwas mit Macs (oder OS X) zu tun, als dass die verwendete Technologie (Thunderbolt) bei Macs standardmäßig und aktuell am häufigsten eingebaut ist. Es betrifft aber alle Geräte mit EFI und in abgewandelter Form auch mit BIOS.
Das eigentliche Problem, dass dort noch lange vor dem Booten des Betriebssystems ein Treiber aus dem Gerät automatisch geladen und ausgeführt wird, ist ein Feature, dass an vielen Stellen (nicht nur bei Thunderbolt) stattfindet. Der große Unterschied ist, dass in diesem Fall das Gehäuse nicht geöffnet werden muss, sondern sich Sachen auch in externen Geräten (z.B. Beamer) verstecken können. Gruselig.

Erwähnt wird hier explizit nur die PreBoot-Phase, oder? D.h. das Problem ist nicht da, wenn man es erst später anstöpselt? Kann ich mir irgendwie nicht vorstellen, oder doch?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Apple und die Sicherheit
Antwort #384: August 07, 2012, 14:26:52
Der Technologie-Journalist Mat Honan hat ja ordentliche Schlagzeilen produziert, da er einem „epic hacking“ zum Opfer fiel. Apple und Amazon haben ihren Beitrag geleistet, Apple gab scheinbar tatsächlich telefonisch ein temporäres Passwort an einen Betrüger, der sich als Honan ausgab und behauptete er käme nicht mehr an seinen Account.
http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/

Das dann auch eigentlich vom Beruf her aufgeklärt sein müssende Menschen sowohl ihre Accounts bei diversen Diensten aneinander hängen als auch keine Backups machen und so quasi ihr ganzes digitale Leben verlieren können, sollte wirklich mal aufrütteln.

a) Regelmäßige Backups sind auch im Cloud-Zeitalter unabdingbar.
b) Verschiedene, sichere Passwörter für jeden einzelnen Dienst. Schlüsselbund und andere Programme machen das sehr einfach.
c) Wenn Diensteanbieter das Passwort per Email zuschicken, ist das schon mal grundsätzlich bedenklich und zeugt nicht von Professionalität. Es sollte nun vom User unbedingt geändert werden - und hoffentlich nicht wieder im Klartext zurückkommen.
d) Emails mit sicherheitskritischen Inhalt gehören eigentlich verschlüsselt. Das ist aber kaum je der Fall, also sollte man diese Emails lokal abspeichern und vom Server löschen.
« Letzte Änderung: August 07, 2012, 14:30:17 von Florian »
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.

Florian

  • Verderbliche Ware!
Re: Apple und die Sicherheit
Antwort #386: August 15, 2012, 14:33:59
Halte ich für ziemlich verkürzte Darstellung.
Ja, AES ist, wenn die Passphrase lang genug ist, ausreichend sicher. Es kommt aber doch darauf an, wie es implementiert ist. Noch nicht mal die Keychain ist vollständig sicher (http://sit.sit.fraunhofer.de/studies/en/sc-iphone-passwords-faq.pdf) und m.W. findet auch keine Whole Disk Encryption statt, nur Teile werden verschlüsselt. Die sind dann auch sicher, wenn die Passphrase ausreichend ist.

Diese Verschlüsselung gibt es seit iOS 4, auch heute noch wird sie von den allermeisten Apps nicht genutzt. :(


 

_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Apple und die Sicherheit
Antwort #387: August 15, 2012, 15:17:21
Ja, sicherer als das schwächste Glied der Kette kann die Kette nicht sein. Das schwächste Glied in der Kette wohl jedes iPhones (bzw. auch jedes anderen Mobilgeräts) wird in der Praxis immer die Codesperre sein. Die wird kaum je wirklich so komplex gewählt werden, dass sie kryptografischen Anforderungen genügt. Also wird es immer nur darum gehen, den Code der Codesperre zu knacken. Mag sein, dass dazu die 08/15-Forensikabteilung der lokalen Polizei nicht in der Lage ist. Von einem sicheren Gerät zu sprechen ist in meinen Augen aber reinste Augenwischerei.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

Florian

  • Verderbliche Ware!
Re: Apple und die Sicherheit
Antwort #388: August 16, 2012, 01:00:15
In dem Artikel wird eine sichere Passphrase schon vorausgesetzt. Und der Remote Wipe bei 10 falschen Eingaben aktiviert ist.
Es sieht aber doch leider doch wohl auch so aus, dass man auch an der Code-Sperre vorbei auf gewisse Inhalte Zugriff erlangen kann. So zumindest verstehe ich die Behauptungen in dem Fraunhofer-PDF.
Auch wird in dem Artikel was von Whole Disk Encryption gefaselt, die das iPhone so nicht hat. Finde das irreführend. Zu Ehrenrettung: Recht weit oben steht, es sei wesentlich schwieriger geworden, ein iPhone zu hacken. Nicht, dass es unmöglich wäre.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Apple und die Sicherheit
Antwort #389: August 16, 2012, 08:30:57
In dem Artikel wird eine sichere Passphrase schon vorausgesetzt.

Ja, nur spielt die für die Verschlüsselung verwendete Passphrase für die Sicherheit eines Mobilgerätes absolut überhaupt keine Rolle, da diese Passphrase ja auf eben diesem Gerät gespeichert sein muss. Der schwächste Punkt ist der Code, mit dem die Passphrase zugänglich wird. Und wer bitteschön definiert auf einem Mobilgerät einen derart umständlich einzugebenden Sperrcode, dass der wirklich genügen würde, um Sicherheit zu bieten?

Zitat
Und der Remote Wipe bei 10 falschen Eingaben aktiviert ist.

Der würde nur dann eine Rolle spielen, wenn der Angrif über das Interface des Mobilgeräts erfolgen muss, sprich kein Dump des Speichermediums möglich ist. Dass daran die 08/15-Forensikabteilung scheitert ist aber noch lange kein Indiz dafür, dass das nicht möglich ist.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)