Für den User sicher einerseits komfortabel. Andererseits finde ich es zuweilen sogar schade nicht explizit zu wissen was Updates für neue Funktionen bringen. Das weil ich relativ schnell im Apple Appstore Anwendungen aktualisiere. Die Zusatzfunktionen finde ich dann jeweils eher zufällig oder weil ich im Netz darüber las.

Warum aber problematisch? Android hat ja keine Qualitätskontrolle was den Code angeht, sondern setzt auf die Kontrolle durch die Community. Obwohl das Prinzip ebenfalls seine Berechtigung hat, ist es weniger zeitnah als eine vorgelagerte Kontrolle wie es Apple und Microsoft machen. So kann es vorkommen, dass Anwendungen schädlichen Code enthalten (Daten ausspähen, verteilen, etc.) und das erst durch News publik wird. Google kann dann diese Applikationen von den Geräten entfernen. bis dahin können aber schon Daten abgeflossen sein. Der andere Fall ist das Update. Es kann eine Anwendung in den Market kommen, und eine einfache Funktion erfüllen (bsp. Ringtones, Wallpapers, etc.) Lässt man nun Autoupdates zu, kann diese Applikation zu einem späteren Zeitpunkt ihren Zweck völlig ändern und die Anpassung wird automatisch im Hintergrund installiert.

Das Risiko ist definitiv erhöht, auch wenn natürlich das bewusste Updaten durch den Anwender nicht viel sicherer ist, da in der Beschreibung des Updates nicht stehen wird: “Von nun an lesen wir ihre SMS aus und senden sie an einen russischen Server”

via t3n.de

Immer öfter sind die Leute mit der gesamtheitlichen Erfassung von Ausgangslagen überfordert. Ist mir gerade wieder bewusst geworden als ich die Kommentare zu der Ankündigung des EAS Siegels las:

The reason we would like to see this is there are short comings to the Windows Phone 7 and even the iPhone 4 implementations of the ActiveSync policy settings. It’s tough to push back against iPhone users now with this logo is out there, but for example our security folks believe we need full device encryption (including storage card) which Windows Phone 7 and iPhone 4 do not support.

 

Nun könnte man meinen das sei eine legitime Anforderung der “Security Folks” und des Admins der hier kommentiert. Sind doch Speicherkarten noch einfacher entfernbar und nicht durch ein Passwort geschützt. Ist das iPhone und das Windows Phone aber unsicherer weil sie keine Speicherkartenverschlüsselung haben? Unwahrscheinlich. Sie haben nämlich auch keine Speicherkartenslots…

Das ist natürlich nicht die Meinung. Um zu erklären wieso ich Smartphone Viren für vernachlässigbar halte, muss man vielleicht ein paar Begriffe klären. Was ist so ein Virus eigentlich? Wir alle haben ja schon von Computerviren gehört. Im Bereich Viren und PC Security hört man immer wieder drei Begriffe. Malware, Virus und Trojaner. Folgende Grafik soll das etwas aufzeigen:

Als Malware (gemäss Wikipedia ein Kofferwort aus malicious & software) wird Software mit bösartiger Absicht bezeichnet. Also ähnlich wie Microsoft Office. Viren und Trojaner sind dann Unterarten die sich nur in der Verteilung unterscheiden. Ein Virus kann sich, wie sein medizinisches Pendant, selbstständig verteilen. Dies über Internet, Bluetooth, etc. Ein Trojaner ist Malware die ihre böse Absicht versteckt. Meist werden harmlos scheinende Spiele oder kleine Systemtools verwendet um dann bösen Code einzuschleppen. Trojaner sind aber auf den Einlass in die eigenen Gefilde durch den Anwender angewiesen (analog Trojanisches Pferd und woher wohl der Name kommt).

Nun zu Smartphones. Viren könnten sich sehr einfach über die ständig laufenden Datenverbindungen GSM, WI-FI und Bluetooth verteilen. Dafür wurden die Betriebssysteme aber vorbereitet. Anders als bei den PC-Pendants sind Smartphone-Betriebssysteme sehr reduziert im Funktionsumfang und bieten daher weniger Angriffsfläche. Malware im allgemeinen und Trojaner im speziellen sind aber sehr wohl eine Gefahr wie die letzte Woche eindrücklich zeigte:

http://mashable.com/2011/03/01/android-malware-apps/ und 100+ weitere Links. Was ist passiert:

Eine Gruppe von Applikationsentwicklern bot Applikationen an welche einer bereits populären Applikation stark glichen resp. zum Teil 1:1 die gleichen Funktionen boten. Mit diesen Applikationen wurde aber Code installiert der eine Android 2.2 Schwachstelle ausnützt welche zum einen Daten auslesen und versenden, und zum anderen, weit schlimmeren, weiteren Code aus dem Internet installieren lässt. Durch den Benutzer unbemerkt (eine weitere Verteilungsart genannt Backdoor). Google reagierte rasch gemäss ihren Market-Policies und sperrte die Applikationen (um die 50), deren Entwickler und deinstallierte die Applikationen auf den betroffenen Geräten (mind. 50’000! Update 260’000!!). Google hat hier den selben Mechanismus den auch Apple in iOS hat um ungewünschte Software nachträglich von Geräten zu entfernen. Apple wurde hier noch kritisiert, da dahinter hauptsächlich die Zensur-Vorwürfe vermutet wurden. Aktuelles Beispiel zeigt aber eindrücklich wie wichtig/nützlich der Mechanismus sein kann. Was Google allerdings nicht weiss und demnach nicht entfernen kann, ist der Code der durch die Applikation eingeschleppt wurde.

Dem Anwender der von dieser Malware betroffen war, bleibt eigentlich nur eins. Sein Gerät auf Werkseinstellungen zurücksetzen. Unschön und immer mit Aufwand und dem Risiko von Datenverlust verbunden. Google selber hat den Fix für die Sicherheitslücke ja bereits in den neueren OS-Versionen behoben. Für die 2.2er-Geräte stellt Google ebenfalls einen Fix zur Verfügung, diesen zu verteilen ist aber in Verantwortung von Geräteherstellern und Netzbetreibern. Diese zeigen sich unterschiedlich bereit OS-Updates zu verteilen, da verkaufte Geräte verkauft sind und sich mit diesen kein Gewinn mehr machen lässt (so tickt diese Industrie leider schon länger).

Auch an diesem Beispiel zeigen sich wieder die Unterschiede der zwei Herangehensweisen für einen App-Store/-Market. Der Google Weg ist der offene. Applikationen werden kaum geprüft. Das hat zur Folge das Schadsoftware ziemlich einfach im Android Market angeboten werden kann. Genau wie auch Software die geistiges Eigentum stiehlt in dem es eine 1:1 Kopie ist, doch das ist eine andere Geschichte. Wie Google in diesem Beispiel zeigte, reagieren sie sehr schnell auf Meldungen der Community der die Prüfung eigentlich delegiert wird. Genau wie Wikipedia soll die Community schlussendlich zum guten Ergebnis führen. Apple geht den anderen Weg. Applikationen werden einem, oft kritisierten Prüfprozess unterzogen in dem diverse Punkte geprüft werden. Einer dieser Punkte ist auffälliges Verhalten das Schadsoftware auszeichnet. Mir persönlich ist kein Beispiel bekannt wo eine Applikation sich bösartig verhielt die nicht über einen Jailbreak installiert werden musste. Schwachstellen im Betriebssystem wie die PDF-Schwäche von iOS vor 4.x gibt und wird es immer und bei allen Anbietern geben. Wie damit umgegangen wird ist entscheidend. Schlussendlich muss der Anwender für sich entscheiden mit wie viel Risiko er leben will. Vom Android Benutzer wird eher erwartet sich mit der App-Landschaft sehr aktiv auseinander zu setzen um früh von Schadsoftware etc. zu erfahren. Bei Apple kann man mit einer gewissen Grundsicherheit im Rücken entspannter an das Thema herangehen, hat aber den Nachteil keine System-”Beschleunigungs”-Tools und Homescreen-Anpassungen vornehmen zu können.

Zartbesaitete sollten nicht nach Smartphone Virus auf Google suchen. Die schiere Anzahl an Weltuntergangsszenarien die vom kleinen Computer in der Jackentasche ausgehen soll ist überwältigend. Solange ich mich mit mobilen Lösungen privat oder beruflich beschäftige hing immer das Damokles-Schwert von Smartphone-Viren über dem Thema. Klar klingt ja auch logisch. Die kleinen Dinger werden immer mächtiger und tragen immer mehr “sensible” Daten auf sich. Es musste also so kommen wie beim Aufstieg des Personal Computers der heute ungepatcht und ungesichert nur wenige Minuten im Internet überlebt. Hersteller von Antiviren-Softwarehersteller waren ganz uneigennützig an der Speerspitze dieser Berichterstattung und boten gleich den Schutz vor der Gefahr an. AV-Software auf Handies habe ich persönlich aber noch nie im grossen Einsatz gesehen. Zu limitiert sind die Ressourcen (CPU, Speicher, BATTERIE) und zu gross die Einschränkungen beim Einsatz von AV-Software.

Und trotzdem. Wer kennt gerade einen grossen Fall von Virenbefall auf Smartphones? Das einzige was man liest sind Einzelfälle wo es gelang eine Schwachstelle für PDF auszunützen oder eine Malware zu installieren die Adressbuchdaten ausliest und weiterleitet. Aber immer ist eine Aktion des Anwenders notwendig. Da liegt auch einer der grundsätzlichen Unterschiede von Smartphones zu PCs der “Frühzeit”. Während bei Windows früher jeder Anwender automatisch mit priviligierten Rechten (Admin) unterwegs war, ist dies bei Smartphone-OS nicht so. Jede Installation bedingt die Eingabe von Userdaten oder Bestätigen von Hinweisen. Ein Virus der sich im Hintergrund installiert ist so schon sehr effektiv bekämpft. Weiter gehen die OS mit verschiedenen Ansätzen.

Apple pflegt mit dem App-Store und dessen Genehmigungsprozess den nicht unumstrittenen “walled garden” in den nur geprüfte und für unkritisch befundene Applikationen gelangen. Android ist da viel offener und lässt sehr viele, teils auch schadhafte Applikationen in seinen Market. Dem User wird aber bei Installation mehr oder weniger kryptisch aufgezeigt welche Zugriffe die Applikation auf Daten hat. Bei Admins-Liebling Blackberry geht man einen ähnlichen Weg. Genau wie Android sind Blackberrys in der Installation nicht auf den Blackberry-Store/-Market/-Marketplace/-whatever limitiert, sondern können auch Applikationen aus Fremdstores oder dem Netz installieren. Blackberry User haben aber sehr feine Möglichkeiten den Applikationen Zugriff zu genehmigen und diesen nachträglich auch anzupassen. Microsoft folgt mit Windows Phone 7 momentan dem Apple Ansatz und limitiert den Zugang zum Marketplace sehr stark.

So ist denn auch dieses Zahlenbeispiel nicht überraschend:

Derzeit allerdings gibt es nur 539 bekannte Viren für alle Mobil-Betriebssysteme, in der PC-Welt werden dagegen Zehntausende neue Mutanten losgelassen – pro Tag. via aiciti.ch

So ist es sicherlich an der Zeit den befürchteten Gefahren den Rücken zuzuwenden und nur noch ab und zu einen kontrollierenden Blick über die Schulter zu werfen, und den effektiven Gefahren der immer leistungsfähigeren und mobileren Geräten die Aufmerksamkeit zu schenken. Die Geräte müssen nämlich vor Verlust geschützt werden. Unternehmen sollten ihre Zugriffe aufs Unternehmensnetzwerk schützen, sicherstellen das Daten verschlüsselt abgelegt werden können, der Anwender sich der Gefahren bewusst ist und sein Gerät im Verlustfall sperren/löschen kann, etc. Diese Denke schleicht sich nun langsam auch bei AV-Softwareherstellern ein und sie bieten mehr Lösungen für Mobile Device Management als klassische Antiviren-Software. Es bleibt zu hoffen das sich der Trend auch bei Security-Abteilungen und -Frameworks abzeichnet

Nun ja funktional ist Dropbox genial. Nutze es sowohl privat als auch geschäftlich. Allerdings bin ich als User ziemlich vorsichtig was ich dort ablege.

Einerseits sind Installationen auf dem PC immer heikel für ein Unternehmen. Man weiss nicht genau wie sich die Software verhält und welche Side-Effects sie mit anderen Applikationen haben könnte. Darum werden in vielen Unternehmen Installationen auf Geräten verboten. So hat man nur einen getesteten und abgenommenen Stand an Software welcher untereinander verträglich ist. Wie grosse wäre das Geschrei, wenn der Laptop im Büro auf einmal 10 Sekunden langsamer startet

Das zweite grosse Thema in der Cloud ist tatsächlich die Datensicherheit. Ein Dienst wie Dropbox muss extrem leistungsfähig sein. So müssen sie sehr flexibel auf einen Haufen neuer User reagieren können. Denn ein Ausfall von einer Woche wäre der Tod für den Dienst. Mit dieser hohen Anforderung an Flexibilität stellen sich grosse Schwierigkeiten für hohe Sicherheit der Daten. Diese hohe Sicherheit  in dieser  Grösse trotzdem zu haben, ist hingegen wieder sehr kostspielig. Wie wird der Dienst aber finanziert? Reichen die paar $ die für Storage verlangt werden tatsächlich? Nimmt das Unternehmen nicht ein Sicherheitsrisiko in Kauf um so seine Rentabilität nicht zu gefährden?

Es kann durchaus sein, dass die Firma (sofern es eine Firma und nicht ein Haufen Studenten mit ein paar Servern sind) völlig seriös ist und das Thema Sicherheit an oberster Stelle steht. Man weiss es aber nicht. Ein Unternehmen kann mit solchen Cloud-Anbietern selten Verträge abschliessen.

Zu Sicherheit gehören auch Punkte wie Verfügbarkeit von Daten. Wenn einmal geschäftskritische Daten dort abgelegt sind, müssen die auch jederzeit zur Verfügung stehen. Solche Zusagen wird einem so ein öffentlicher, eher Consumer- orientierter Dienst selten machen (können).

Weiteres Fragezeichen ist die Verwendung der Daten. Während Daten innerhalb des Unternehmens stets unter Kontrolle sind, können Daten in der Cloud jederzeit unbemerkt weiter verschickt/kopiert werden. Hier spreche ich jetzt nicht von Hacking, sondern eher von Mitarbeitern, die dem Unternehmen evt. nicht immer allzu gut gesinnt sind und einer Zeitung Berichte zustellen wollen etc. Natürlich gibt es diese Möglichkeit eigentlich immer, aber Cloud-Dienste machen es einem halt enorm einfach.

Hoffe das ist jetzt nicht allzu technisch und nachvollziehbar. Die IT will nicht immer böse sein, doch zum Teil wird man halt mit Themen konfrontiert welche der Anwender nicht einfach im Gesamtkontext sehen.

Ich bin aber kein Fan von den IT-Abteilungen welche einfach undifferenziert verbieten. Die Diskussion soll möglich sein und die Argumente dargelegt werden. Evt. gibt es ein valables Bedürfnis welches gewisse Risiken rechtfertigt. Wenn nicht, soll die IT die Begründungen so darlegen, dass der Anwender die dahinterliegenden Intentionen und sogar seinen eigenen Nutzen dabei versteht.

Hoffe damit ein paar Missverständnisse der IT vs. Anwender/Business Diskussion behoben zu haben.

Doch Smartphones sind ja inzwischen kleine Computer und beherbergen unser digitales Leben (ja ja ich weiss alte Leier, aber es dient nur als Einführung ins Thema). So haben wir all unsere mehr oder weniger kritischen Kontakte (längst nicht mehr auf SIM-Speicher begrenzt), Kalendereinträge, Log-In’s, Notizen, Mails, Fotos etc. auf diesen kleinen Geräten. Das Minimum ist ja mal die Aktivierung der PIN-Abfrage. Zusätzlich rate ich allen ein Geräte-Passwort zu setzen. Das verhindert mal die Benutzung durch die berühmten 80% der Diebe. Was aber, wenn das Gerät gerade aktiv war (Gerätepasswörter sperren das Gerät meist erst nach 1-x Minuten). Für diesen Fall bietet Nokia eine super Möglichkeit. Das Feature versteckt sich in den Sicherheitseinstellungen (Bsp. Symbian S60 3rd: System – Einstell. – Allgemein – Sicherheit – Telefon und SIM-Karte). Erst prüft man ob die Telefonsperre aktiviert ist (sinnvolle Zeit einstellen (1-3 Minuten)). Um diese Einstellungen zu ändern, benötigt man den Telefonsperrcode. Hat man selber noch keinen definiert, ist es bei Nokia Geräten 1/2/3/4/5. Diesen auch gleich ändern. Unter dem Punkt Remote Sperre dann diese Super-Funktion. Man definiert einen Textbaustein (Achtung Gross- und Kleinschreibung) von mindestens fünf Zeichen. Wird dieser als SMS an euer Gerät geschickt, sperrt es sich sofort. Wichtig auch gleich die Sperre für SIM-Wechsel zu definieren. So hat man ohne Zusatzsoftware ein recht hohes Mass an Sicherheit. Natürlich hat man die Forensik-Spezialisten der russischen Mafia noch nicht matt gesetzt, doch man dürfte bereits bei 95% der Diebe sein.

Wer weitere Sicherheit zum erschwinglichen Preis wünscht, soll sich SecureMe kaufen. Für erschwingliche 13.50$ erhält man zahlreiche Funktionen Informationen vor Dieben zu verstecken oder das Gerät per SMS zu löschen.

Sollte ich ähnliche Lösungen für weitere Mobil-OS finden, halte ich euch natürlich auf dem Laufenden.

Das ist ja schon mal ein cooler Einsatz-Zweck fürs Grossraumbüro wo man oftmals nicht ganz sicher um sein Hab und Gut ist. Aber was ich noch viel cooler finde ist der andere Einsatzzweck. Mac User sind gutgläubige Gesellen. Oftmals blockieren sie ihren Mac beim Verlassen des Platzes nicht mal. So auch ein externer Kollege hier. Chance also genutzt und rasch lockdown installiert und fertig ist der grossartige Office-Streich