iOS-Sicherheit in der Praxis - · PDF fileIT-Grundschutz / ISO 27001) Risikoanalysen und...

Das Team der Antago Antago GmbH | Robert Bosch Str. 7 | 64293 Darmstadt | https:// www.antago.info 10.07.12

Wie komplex muss der Passcode für iPhone und iPad sein?

iOS-Sicherheit in der Praxis

Stand: 10.07.2012Lizenz:

http://creativecommons.org/licenses/by-nc-sa/3.0/deed.de


Lizenz dieses Dokuments:

Sie dürfen:

das Werk bzw. den Inhalt vervielfältigen, verbreiten und öffentlich zugänglich machen

Abwandlungen und Bearbeitungen des Werkes bzw. Inhaltes anfertigen

Zu den folgenden Bedingungen:

Namensnennung — Sie müssen den Namen des Autors/Rechteinhabersin der von ihm festgelegten Weise nennen(Antago GmbH, Nennung mit Name, Logo und Link auf https://www.antago.info)

Keine kommerzielle Nutzung — Dieses Werk bzw. dieser Inhalt darf nicht für kommerzielle Zwecke verwendet werden.

Weitergabe unter gleichen Bedingungen — Wenn Sie das lizenzierte Werk bzw. den lizenzierten Inhalt bearbeiten oder in anderer Weise erkennbar als Grundlage für eigenes Schaffen verwenden, dürfen Sie die daraufhin neu entstandenen Werke bzw. Inhalte nur unter Verwendung von Lizenzbedingungen weitergeben, die mit denen dieses Lizenzvertrages identisch oder vergleichbar sind.

http://creativecommons.org/licenses/by-nc-sa/3.0/deed.de


Antago: Unternehmen und Portfolio

Dürfen wir uns vorstellen?


Was bietet Ihnen Antago?

Die Antago GmbH ist ein europaweit tätiges Unternehmen im Bereich derIT- und Informationssicherheit. Wir sorgen für die strukturierte,bedarfsorientierte Absicherung von Informationen.

Unabhängig, kompetent und fair bieten wir Ihnen:

Security Scans und PenetrationstestsKompetente Sicherheitsuntersuchungen inkl. Risikoanalyse und Maßnahmenkatalog

Informationssicherheitsmanagmentsysteme (ISMS)Analyse und Erarbeitung bedarfsorientierter Sicherheitskonzepte(auch gem. IT-Grundschutz / ISO 27001)

Risikoanalysen und SicherheitskonzepteBedarfsorientierte Sicherheit: „So wenig wie möglich, so viel wie nötig!“.

Security AwarenessSensibilität im Unternehmen schaffen – die Sicherheitslücke Nr. 1 adressieren.

Livehackings und SchulungenKnow-How aus erster Hand.


Alle Antworten zur Sicherheit

von iPhone & Co!

Seminarreihe „iPhone & Co? Aber sicher!“

Deutschlandweite Seminarreihe im September 2012

Kaum ein Thema wird in Unternehmen aktuell sokontrovers diskutiert wie iPhone & Co: währendhäufig Geschäftsleitung und Vertrieb auf dieNutzung bestehen, stehen die Administratorenden mobilen Helfern zumeist skeptisch bisgrundsätzlich ablehnend gegenüber.

Ziel muss sein, diese Geräte gewinnbringend für das Unternehmen in die IT einzubetten und sie trotzdem angemessen abzusichern.

Wir zeigen Ihnen, wie es geht - das Seminar gibt Antworten auf alle Fragen rund um die Sicherheit von iPhone & Co!

Das Seminar richtet sich an IT-Leiter, Administratoren,IT-Sicherheits- und Datenschutzbeauftragte.

Sehen wir uns? Mehr Informationen hier:

https://www.antago.info/ios

https://www.antago.info/ios


Pro und Contra

Warum (komplexe) Passcodes?


Wogegen schützt der Passcode bei iPhone & iPad?

Der Passcode hat bei iOS-Geräten die folgenden Aufgaben:

Beschränkung des Zugangs zum Gerät

Nur nach Eingabe des Passcode kann das Gerät genutzt werden.

Entsperren der Datenverschlüsselung

iOS bietet den Apps an, Daten verschlüsselt auf dem Gerät abzulegen. Nur nach Eingabe des Passcode kann auf diese Daten zugegriffen werden.

Wichtig:Die Datenverschlüsselung wird aktuell nur selten genutzt.Sowohl das Betriebssystem als auch die meisten Apps speichern kritische Daten (wie z.B. Passwörter) häufig im Klartext.


Wogegen sollen komplexe Passcodes schützen?

Passcodes sind eigentlich denkbar ungeeignet, um Mobile Devices angemessen abzusichern – sie haben einfach zu viele Schwachstellen:

Sie können z.B. ausgespäht, vergessen, erraten, gebrochen,mehrfach oder über einen langen Zeitraum verwendetoder weitergegeben werden.

Der Umgang mit ihnen muss vom Nutzer (mühsam) erlernt werden.

Sie stören bei der täglichen Arbeit.

Komplexe Passcodes lösen nur wenige der oben genannten Probleme:

Sie können schwerer als einfache Passcodes ausgespäht werden.

Sie können nicht durch einfaches Probieren erraten werden.

Ausreichend komplexe Passcodes können auch durch systematischesTesten nicht gebrochen werden – selbst wenn ein Angreiferumfangreiche Ressourcen einsetzt.


Komplexe Passcodes schaffen neue Probleme!

Passcodes sind nervig!

Benutzer müssen sich ihren Passcode merken.

Benutzer müssen immer wieder den Passcode eingeben.

Je komplexer der Passcode...

...umso größer ist die Belästigung der Benutzer.

...umso häufiger wird er vergessen.

...umso häufiger wird er aufgeschrieben (Schwachstelle!).

...umso stärker ist der Widerstand der Benutzer.


Erschwerend kommt hinzu...

Die Oberfläche von iPad und iPhone ist für die Eingabe von komplexen Passcodes eigentlich nicht geeignet:

Die Tastatur ist klein; die Gefahr von Tippfehlern ist erhöht(gilt besonders für iPhone).

Die Tasten sind ungewohnt angeordnet.Es handelt sich nicht um eine „vollständige“ Tastatur,die Benutzer sind vor allem in der Einführungsphaseder Geräte verwirrt.

Viele Sonderzeichen sind nur aufwendig erreichbar.

Die Folgen:

Komplexe Passcodes werden für den Nutzer schnell zur Qual.

Komplexe Passcodes stoßen deshalb schnell auf massiven Widerstand.


Wer sind die Angreifer und was können sie?

Analyse


Unsere Gegner!

Wie gut ein System abgesichert werden muss, hängt maßgeblich von den Bedrohungen(in unserem Fall von den Gegnern) ab. Wir betrachten drei (fiktive) Gegner:

Der unehrliche Finder:Er freut sich über das Gerät.Aus reiner Neugier testet er 10 Minuten lang verschiedene Passcodes, bevor er frustriert aufgibt.

Der ambitionierte Angreifer:Er möchte den Passcode unbedingt herausfinden!Er nimmt sich zwei Wochen Zeit, um immer neue Kombinationen zu testen.

Marvin (der depressive Roboter aus „Per Anhalter durch die Galaxis“):Er hat sehr viel Zeit und sehr viel Geduld.Er probiert alle möglichen Kombinationen, bis er Erfolg hat (Brute-Force).


Wie schlagen sich unsere Angreifer?

Unsere Angreifer finden ein gesperrtes oder ausgeschaltetes iPhone/iPad und machen sich an die Arbeit.

Sie probieren über die Tastatur verschiedene Passcodesaus und hoffen, den richtigen zu finden.

Wie sind ihre Erfolgsaussichten in der Theorie?


Soweit die Theorie... Hier die Praxis!

Das Betriebssystem von iPhone und iPad in den aktuellen Versionen verhindert derartige Angriffe, indem es Wartezeiten zwischen Fehleingaben einlegt und das gesamte Gerät nach nur 11 Fehlversuchen deaktiviert.(getestet unter iOS 5.0, 5.01, 5.1 und 5.11):

Wenn das Gerät deaktiviert ist, muss an iTunes angeschlossen und wiederhergestellt und neu aktiviert werden.

Dabei gehen alle Daten auf dem Gerät verloren.


Was bedeutet das für die Angreifer?

Wenn sich das Gerät nach elf Fehlversuchen selbständig sperrt ändern sich die Erfolgsaussichten für unsere Angreifer natürlich dramatisch...

Wie sehen die Erfolgsaussichten unserer Angreifer also in der Realität aus?


Option „Maximale Anzahl von Fehlversuchen“

Die (ohnehin geringen) Möglichkeiten der Angreifer lassen sich durch die Option „Maximale Anzahl von Fehlversuchen“ weiter reduzieren.

Mit ihr kann festgelegt werden, nach wie vielen Fehlversuchen sich das Gerät komplett löscht.

Zusätzlich hat man bei der Nutzung dieser Option die Gewissheit, dass das Handy nicht nur gesperrt wird, sondern dass die darauf gespeicherten Daten auch auf Umwegen nicht mehr in fremde Hände gelangen können.


Wie komplex muss der Passcode für iPhone und iPad sein?

Empfehlung


Passcodes und ältere iOS-Geräte

Ältere iOS-Geräte (iPhone vor iPhone 4S, iPad vor iPad 2 sowie alle Versionen des iPod Touch) besitzen Sicherheitsprobleme, die auch durch ein Update nicht behoben werden können (da sie in der Hardware quasi fest verdrahted sind).

Diese Sicherheitsprobleme ermöglichen es einem Angreifer, den Passcode zu umgehen und auf den größten Teil des lokalen Datenbestands zuzugreifen.

Klartext:Da auf iOS-Geräten eine bedeutende Menge sicherheitskritischer Informationen (wie z.B. Passwörter!) im Klartext gespeichert sind, empfehlen wir dringend, nur aktuelle iOS-Geräte einzusetzen (iPhone 4S bzw. iPad 2 oder 3)!Die Sicherheitsprobleme älterer iOS-Geräte können nicht durch einen komplexen Passcode behoben werden!


Passcodes bei iPhone 4S / iPad 2&3

Technische Maßnahmen (mit dem kostenfrei erhältlichen iPhone-Konfigurationsprogramm von Appleoder mit Hilfe einer MDM-Lösung umzusetzen):

Deaktivieren Sie die Option „Einfache Werte erlauben“, um zu einfache Passwörter(wie z.B. „1234“ oder „aaaaa“) zu verhindern.

Setzen Sie die Option „Maximale Anzahl von Fehlversuchen“ auf den Wert 10 oder geringer, damit das Gerät nach X Fehlversuchen vollständig gelöscht wird (es befindet sich in fremden Händen und hier sollte man auf Nummer sicher gehen).

Geräte mit geringem oder mittlerem Schutzbedarf:

Deaktivieren Sie die Option „Alphanumerische Werte erforderlich“.

Setzen Sie die Option „Mindestlänge des Codes“ auf 4.

Geräte mit höherem Schutzbedarf:

Möglichkeit 1: Deaktivieren Sie die Option „Alphanumerische Werte erforderlich“. Setzen Sie die Option „Mindestlänge des Codes“ auf 5.

Möglichkeit 2: Aktivieren Sie die Option „Alphanumerische Werte erforderlich“. Setzen Sie die Option „Mindestlänge des Codes“ auf 4.

Organisatorische Maßnahmen:

Informieren Sie Ihre Benutzer über die sichere Wahl von Passcodes.

Geben Sie Ihren Nutzern eine konkrete und einfache Anleitung, wie der Passcode zu wählen ist.

Verpflichten Sie Ihre Nutzer, einen angemessen sicheren Passcode zu verwenden.


Antago: Replacing Luck.

So kontaktieren Sie uns


Unsere Kontaktdaten – wir freuen uns auf Sie!

Sie haben Fragen? Sie benötigen weitere Informationen oderein unverbindliches Angebot? Wir freuen uns auf Sie!

Antago GmbHRobert Bosch Str. 7D 64293 Darmstadt

Internet: https://www.antago.infoPhone: +49 6151 428568 0Fax: +49 6151 428568 1E-Mail: sicherheit[at]antago.info

https://www.antago.info/

mailto:sicherheit%5Bat%5Dantago.info?subject=Security%20Scans


https://www.antago.info/

iOS-Sicherheit in der Praxis - · PDF fileIT-Grundschutz / ISO 27001) Risikoanalysen und...

Documents

Transcript of iOS-Sicherheit in der Praxis - · PDF fileIT-Grundschutz / ISO 27001) Risikoanalysen und...