Forum

Re: Apple und die Sicherheit
Antwort #390: August 16, 2012, 12:58:30
Auch wird in dem Artikel was von Whole Disk Encryption gefaselt, die das iPhone so nicht hat.

Soweit ich weiß, ist der iOS FlashSpeicher schon komplett verschlüsselt. So wird die Fernlöschung realisiert. Es wird nur der Schlüssel gelöscht. Danach hat man nicht auslesbare, da verschlüsselte Daten. Gegen Angriffe nützt diese Verschlüsselung aber wohl sehr wenig. Deswegen gibts eine 2. Verschlüsselung für die Daten einzelner Apps. Mein KenntnissStand ist immer noch dieser:

Ich fasse mal zusammen, mit der Bitte um Korrektur und Ergänzung (für das aktuelle iOS 4.3):

- Der iOS FlashSpeicherInhalt ist komplett verschlüsselt
- notwendig, oder von Apple so gewollt ist diese Verschlüsselung im Wartungsmodus entschlüsselt
- durch eine Sicherheitslücke kann im Wartungsmodus andere Software eingeschleust und ausgeführt werden ohne den Wartungsmodus zu verlassen
- diese Sicherheitslücke liegt außerhalb von iOS und läßt sich nicht? per SoftwareUpdate schließen
- Mit dieser Software läßt sich der Inhalt komplett und unbemerkt auslesen und kopieren, egal wie lang und gut das GeräteKennwort ist
- Mit dieser (oder einer anderen?) Software läßt sich per BruteForce Angriff das GeräteKennwort ermitteln, sofern es kurz genug ist
- Es gibt eine 2. Verschlüsselung für einzelne Apps, innerhalb der kompletten Verschlüsselung des ganzen Flashspeichers
- diese 2. Verschlüsselung benutzt das Gerätekennwort
- ist das Kennwort stark genug, so sind die mit der 2. Verschlüsselungsebene geschützten Inhalte z. Zt. sicher
- die 2. Verschlüsselung wird z. Zt nur von iOS Mail und zwei nicht Apple Apps genutzt
- Der iOS Schlüsselbund nutzt diese 2. Verschlüsselung nicht, gespeicherte Passwörter für Safari, für Mail, fürs WLAN, etc. lassen sich auslesen
- Im iOS Schlüsselbund ist das Gerätekennwort nicht (zumindest nicht im Klartext) gespeichert

Florian

  • Zurück in der Zukunft
Re: Apple und die Sicherheit
Antwort #391: August 16, 2012, 23:53:03
Und wer bitteschön definiert auf einem Mobilgerät einen derart umständlich einzugebenden Sperrcode, dass der wirklich genügen würde, um Sicherheit zu bieten?

Ich, privat.
In der Firma haben wir sogar die strikte Vorschrift, dies zu tun. Das gilt auch für viele andere Firmen, die ich kenne, endlich greift gesundes Misstrauen um sich, dank zahlreicher Spionagefälle. Der Kriminelle wird sogar recht sicher einen komplizierten Code verwenden, würde ich meinen und seine Handys oft wechseln, und ausschalten, wenn er sie nicht braucht. Würde ich jetzt mal vermuten.
Das manche Anwender es trotzdem nicht tun, ist natürlich leider auch korrekt. :(


Zitat
Der würde nur dann eine Rolle spielen, wenn der Angrif über das Interface des Mobilgeräts erfolgen muss, sprich kein Dump des Speichermediums möglich ist. Dass daran die 08/15-Forensikabteilung scheitert ist aber noch lange kein Indiz dafür, dass das nicht möglich ist.

Ja, meine ich ja auch. Der Artikel ist nicht korrekt.


Soweit ich weiß, ist der iOS FlashSpeicher schon komplett verschlüsselt. So wird die Fernlöschung realisiert. Es wird nur der Schlüssel gelöscht. Danach hat man nicht auslesbare, da verschlüsselte Daten. Gegen Angriffe nützt diese Verschlüsselung aber wohl sehr wenig. Deswegen gibts eine 2. Verschlüsselung für die Daten einzelner Apps. Mein KenntnissStand ist immer noch dieser:

Okay, vielen Dank, das stimmt so - hatte ich vergessen. Aber es ist ja dann doch so, dass mit dem Eingeben des Anmelde-Code alles freigeschaltet wird. Vor den Sperrcode-Umgehungen sind die Daten aber tatsächlich sicher, soweit man auf iOS 5 ist. Sonst nicht!
Hier eine Liste von Data Protection Apps:
http://www.enterpriseios.com/wiki/List_Apps_Support_Apple_Data_Protection
Nach wie vor sehr karg. TBD steht für „To be determined“, also nicht überprüft!
_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: Apple und die Sicherheit
Antwort #392: August 17, 2012, 07:33:32
Das manche Anwender es trotzdem nicht tun, ist natürlich leider auch korrekt. :(

Nun ja, mein Sperrcode würde den Anforderungen auch nicht genügen. Ich halte es aber nach wie vor sowohl für den sichereren, wie auch für den deutlich komfortableren Weg, auf meinem Handy eben nicht auch noch die kompletten Geheimnisse mit mir herum zu tragen und mich dafür vor jeder Verwendung des Geräts wundtippen zu müssen. Insofern verstehe ich weiterhin nicht, was an der iClouditis so komfortabel sein soll. Dem reichlich selten mal vorkommenden Vorteil, dass ich in einer ausserorderntlichen Situation vielleicht mal ein Dokument benötigen würde, das sich nun eben auf einem Gerät sonstwo befindet, steht doch der deutlich mühsamere ständige Kampf gegenüber, sicherzustellen, dass Privates privat bleibt.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)
Re: Apple und die Sicherheit
Antwort #393: August 17, 2012, 07:46:56
Ich frage mich immer öfter, was denn wohl passiert, wenn mein Handy geklaut wird.
Mein Telefon hat keinerlei Sicherung. Keinen 4-stelligen-Code, keine Möglichkeit es aus der Ferne zu orten und bei meinen Adressen stehen einige „Geheimnisse“.
Sogar meine Firman-Datenbank kann man auf dem iPhone finden.

Aber was macht ein Dieb damit?

Ich gehe fest davon aus, er telefoniert mit dem Ding so lange, bis ich es sperren lasse, dann setzt er es zurück und vertickt es.
Es wird sich doch kaum ein Dieb damit beschäftigen heraus zu finden, welche Worte und Zahlen einen Zugang zu was auch immer sein könnten.

Gibt es denn einen organisierten Weg für ein geklautes Handy, bei dem sich Fachleute intensiv mit den „inneren Werten“ des Geräts befassen?
Re: Apple und die Sicherheit
Antwort #394: August 17, 2012, 10:00:15
Ich halte es für einen Konstruktionsfehler, daß man Computer und Smartphones immer komplett sperren und entsperren soll. Wetterbericht? > PIN Code, etc. Allein bei den Fotos auf iOS hat der Hersteller es eingesehen, fotografieren geht mittlerweile auch ohne Passwort. Viel praktischer wäre es, man könnte einzelne, vordefinierte (Schlüsselbund) und beliebig ergänzbare "Stellen" per Kennwort schützen: einzelne FotoOrdner, MailOrdner, Notizen. Eben alles was man möchte. Ein Gerät mit privaten Ecken.
Re: Apple und die Sicherheit
Antwort #395: August 17, 2012, 13:24:28
Ja, das wäre es!

Florian

  • Zurück in der Zukunft
Re: Apple und die Sicherheit
Antwort #396: August 17, 2012, 13:50:21
Nun ja, mein Sperrcode würde den Anforderungen auch nicht genügen. Ich halte es aber nach wie vor sowohl für den sichereren, wie auch für den deutlich komfortableren Weg, auf meinem Handy eben nicht auch noch die kompletten Geheimnisse mit mir herum zu tragen und mich dafür vor jeder Verwendung des Geräts wundtippen zu müssen.

Das stimmt natürlich sowieso. Leider spielt sich mittlerweile sehr viel auf Mobilgeräten ab und es wird immer wichtiger, diese noch besser zu schützen als stationäre Rechner eh schon. Der Weisheit letzter Schluss scheint mir das auch nicht.

Zitat
Insofern verstehe ich weiterhin nicht, was an der iClouditis so komfortabel sein soll. Dem reichlich selten mal vorkommenden Vorteil, dass ich in einer ausserorderntlichen Situation vielleicht mal ein Dokument benötigen würde, das sich nun eben auf einem Gerät sonstwo befindet, steht doch der deutlich mühsamere ständige Kampf gegenüber, sicherzustellen, dass Privates privat bleibt.

Es ist schon toll, alles synchron zu haben. Aber mir wäre das privat auch schon zu heikel. Und geschäftlich geht das bei uns gar nicht.
Mir stellt sich auch die grundsätzliche Frage, ob man als Privatmensch wirklich Smartphone, Tablet, Laptop und Desktop - oft noch in mehrfacher Ausführung - zum Glücklichsein braucht. Ob nun synchron oder nicht. Aber das führt wohl jetzt zu weit. :)


fränk:
Ich frage mich immer öfter, was denn wohl passiert, wenn mein Handy geklaut wird.
Mein Telefon hat keinerlei Sicherung. Keinen 4-stelligen-Code, keine Möglichkeit es aus der Ferne zu orten und bei meinen Adressen stehen einige „Geheimnisse“.
Sogar meine Firman-Datenbank kann man auf dem iPhone finden.

Aber was macht ein Dieb damit?

Die allermeisten Diebe sind sicherlich am Gerät interessiert und nicht an den Daten. Die schalten sofort aus und SIM raus, und setzen es zurück.

Zitat
Gibt es denn einen organisierten Weg für ein geklautes Handy, bei dem sich Fachleute intensiv mit den „inneren Werten“ des Geräts befassen?

Aber natürlich. Das sind dann gezielte Diebstähle. Habe hier zwar nur anekdotenhaftes Halbwissen, zumal diese Fälle ja meistens nicht öffentlich gemacht werden. Aber wie sehr die deutsche Industrie, auch kleine Mittelständler, ausspioniert wird, ist ja wirklich kein Geheimnis.
Ob nun vom direkten Konkurrenten hierzulande oder ausländischen Spionen. Und ja, es gibt auch „Dienstleister“, die das für einen erledigen. 
Was nun Dich konkret angeht, kann ich nur generelle Ratschläge geben. :) Man muss sich immer fragen, wie wertvoll die Daten für Andere sein könnten. Schon ein Adressbuch kann äußerst lukrativ sein. Der Gewinn einer Ausschreibung kann u.U. über den Fortbestand einer Firma entscheiden. Gut, wenn man das Angebot der Konkurrenz kennt. Von Bauplänen etc. ganz zu schweigen. Oder man kapert den Email-Account und verschickt Absagen im Namen des Besitzers…
Privat kann man sich auch allerhand Schabernack vorstellen, der den eigenen Ruf womöglich nachhaltig schädigt. Sofern noch möglich. ;)

radneuerfinder:
Eben alles was man möchte. Ein Gerät mit privaten Ecken.

Fürchte nur, das dies wiederum viele User überfordern würde. Auch würde eine solche Implementierung schätzungsweise jede Menge Angriffspunkte bieten… 
« Letzte Änderung: August 17, 2012, 14:01:01 von Florian »
_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: Apple und die Sicherheit
Antwort #397: August 20, 2012, 10:19:58
Ich gebe zu, dass ich auf iPhone und iPad keinen Sperrcode verwende. Ist mir echt zu umständlich. Schon die Eingabe eines 4-Zahlen-Codes.
Tja, wenn einer das Gerät klaut, hat er dann meine Mails, Bookmarks, Termine, Adressen und ToDos. Nicht hat er Kennwörter (sind in 1Password) und Bankdaten (sind in iOutBank). Unangenehm wäre es trotzdem. :(

Ja, so etwas wie radneuerfinder vorschlägt, wäre mir ganz lieb. Nicht nur für einen potentiellen Geräteverlust. Auch schon wenn die Kinder oder Gäste an das Gerät dürfen.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Zurück in der Zukunft
Re: Apple und die Sicherheit
Antwort #400: September 04, 2012, 15:14:19
Da bleiben viele Fragen!

a) mit welcher Handhabe kommt das FBI an so viele Daten und warum/wozu?
b) Wer hat sie weiter gegeben:Apple, oder Facebook/Twitter/wer auch immer?
c) warum ist dann dieser FBI-Agent so blöd, sie auf einem ungenügend abgesicherten Rechner, der mit dem Internet verbunden ist, zu speichern?
d) Und wer ist betroffen? „Nur“ US-Bürger?

Peinlich für alle Beteiligten ist es auf jeden Fall. Und ein weiterer Anlass darüber nachzudenken, ob man wirklich so viele vermeintlich harmlosen Daten überhaupt erfassen muss. Apple zuallererst.
_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: Apple und die Sicherheit
Antwort #401: September 04, 2012, 15:50:44
Und ein weiterer Anlass darüber nachzudenken, ob man wirklich so viele vermeintlich harmlosen Daten überhaupt erfassen muss.

Und auch, ob man diese es-ist-ja-so-praktisch-Cloud- und Push-Dienste wirklich nutzen muss.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)
Re: Apple und die Sicherheit
Antwort #402: September 05, 2012, 07:33:53
Und auch, ob man diese es-ist-ja-so-praktisch-Cloud- und Push-Dienste wirklich nutzen muss.

Richtig. Selbst wenn die Daten nicht wie hier gestohlen und veröffentlicht werden, haben die trotzdem die falschen Leute (kommerzielle Firma wie Apple, FBI...) in der Hand und können die potentiell nutzen.
Und solange die Daten nicht verschlüsselt abgelegt werden und zwar so, dass die schon verschlüsselt den Rechner verlassen und es dort keine Hintertür gibt, möchte ich das nicht benutzen. Daher benutze ich auch iCloud nicht, was sonst praktischer wäre. Viel lieber wäre mir eine Cloud auf dem eigenen selbst kontrollierten Server.
Aktuell nutze ich nur Dropbox für die 1Password-Datei. Ja, Dropbox verschlüsselt auch nicht und ist unsicher. Allerdings ist die 1Password-Datei verschlüsselt und daher problemlos.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Zurück in der Zukunft
Re: Apple und die Sicherheit
Antwort #403: September 10, 2012, 18:55:43
Sieht fast so aus, als wäre das mit dem Diebstahl von einem FBI-Rechner erfunden. Oder wir haben hier eine Verhüllungsstory.
Apple und das FBI haben dementiert.
Nun meldet sich eine Datensammelfirma, sie will ihre Datensätze eindeutig erkannt und auch einen Diebstahl festgestellt haben.
http://redtape.nbcnews.com/_news/2012/09/10/13781440-exclusive-the-real-source-of-apple-device-ids-leaked-by-anonymous-last-week



 
_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: Apple und die Sicherheit
Antwort #404: September 15, 2012, 08:58:37
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)