Smartphone veiligheid

[partyrabbit]

Onlangs hier een topic over veiligheid van smarphones. Een gecrackte iphone. WOW!

Vraag ik me wel eens af of iedereen er wel bij stil staat hoe simpel deze te lezen zijn.
Iedereen heeft het altijd over de beveiligingsaspecten van smartphone os'en en hoe deze beveiligd zijn (wachtwoord en zo).

Als het dan gaat over fysieke veiligheid. Met andere woorden, cracken.
Hang hem voor de gein eens met een kabeltje aan een pc. Hoppaaaaaa je kunt vaak alles browsen, inclusief de os bestanden.
Lukt dat nog net even niet? SD kaartje er uit en in een reader, en weer hoppaaaaaa, alles beschikbaar.
Telefoon passwords en beveiligingen cracken?  Helemaal niet nodig. Iedereen kan in een paar minuten (als je even naar de wc bent) bij al je comprimenterende foto's.

En zo ken ik nog wel wat meer truckjes om bv apps te hacken. Whatsapp hacken bijvoorbeeld. Ook zo gedaan als je even naar de wc bent.

Bij win ver hetzelfde. Als je een linux test dvd/stick draait zit je ook bij alle bestanden. En bij win werkt het vaak ook als je de hdd als slave in een andere pc hangt, waar dan de win op de master de slave vrij geeft.
Bij linux weet ik dit eerlijk gezegd niet. Maar werkt de test dvd/stick volgens mij ook. De hdd in een andere pc hangen is dan alweer een stuk moeilijker om bij de bestanden te komen. Volgens mij is bij linux het juiste wachtwoord wel vaker nodig om bij de bestanden te kunnen?

Laat er geen misverstand over bestaan. Fysiek hacken (= cracken) is snel mogelijk. Je moet een hele goeie zijn om dan alles dicht te hebben.
Er bestaan voor win zelfs kant en klare crack-proggies die je op een usb zet, die je in een afgesloten pc steekt, laat booten, waarna het progje op de usb de wachtwoordgegevens in een bestandje op die usb schrijft. Ff lezen en je hebt het wachtwoord. (ik heb zulke proggies zelf gehad).
Om nog niet te beginnen over de brute-force cracker-proggies voor extra beveiligde bestanden die wat langer nodig hebben, van een paar uur tot een week of zo (ook die heb ik zelf gehad).
Geen enkele reden dus om welke os dan ook af te kraken als het om crack-beveiliging gaat, want uiteindelijk zijn ze allemaal wel ergens lek. De vraag is alleen HOE lek, en hoe snel kan men er in.

Gelukkig ligt de meeste dreiging niet bij cracken maar bij hacken (over internet). En daar wordt het ineens een heel ander verhaal.
En binnen alle opties is het door de diverse veiligheidslagen binnen Linux gelukkig wel bovengemiddeld veilig. In elk geval veiliger dan de gemiddelde bekende OS'en. Wij zitten met ons LInux behoorlijk safe.
Actuele Linux veiligheid

Open source ... I love it!

[MKe]

Als het dan gaat over fysieke veiligheid. Met andere woorden, cracken.
Hang hem voor de gein eens met een kabeltje aan een pc. Hoppaaaaaa je kunt vaak alles browsen, inclusief de os bestanden.

Dit is niet mogelijk bij Apple iOS volgens mij

Lukt dat nog net even niet? SD kaartje er uit en in een reader, en weer hoppaaaaaa, alles beschikbaar.
Telefoon passwords en beveiligingen cracken?  Helemaal niet nodig. Iedereen kan in een paar minuten (als je even naar de wc bent) bij al je comprimenterende foto's.

Apple en veel nieuwe telefoons hebben idd daarom geen sd card reader meer. Het is trouwens zeer eenvoudig om er encryptie op te zetten en dan werkt deze truuk niet meer.

Bij win ver hetzelfde. Als je een linux test dvd/stick draait zit je ook bij alle bestanden. En bij win werkt het vaak ook als je de hdd als slave in een andere pc hangt, waar dan de win op de master de slave vrij geeft.
Bij linux weet ik dit eerlijk gezegd niet. Maar werkt de test dvd/stick volgens mij ook. De hdd in een andere pc hangen is dan alweer een stuk moeilijker om bij de bestanden te komen. Volgens mij is bij linux het juiste wachtwoord wel vaker nodig om bij de bestanden te kunnen?

Ook hier is dit gemakkelijk te voorkomen door schijf encryptie aan te zetten. Zowel voor Linux als Widows.

Laat er geen misverstand over bestaan. Fysiek hacken (= cracken) is snel mogelijk. Je moet een hele goeie zijn om dan alles dicht te hebben.
Er bestaan voor win zelfs kant en klare crack-proggies die je op een usb zet, die je in een afgesloten pc steekt, laat booten, waarna het progje op de usb de wachtwoordgegevens in een bestandje op die usb schrijft. Ff lezen en je hebt het wachtwoord. (ik heb zulke proggies zelf gehad).

Mits je de encryptie niet aanzet idd.

Om nog niet te beginnen over de brute-force cracker-proggies voor extra beveiligde bestanden die wat langer nodig hebben, van een paar uur tot een week of zo (ook die heb ik zelf gehad).

Dit zal je nog tegenvallen. Brute force is zeer gemakkelijk te voorkomen en dit wordt ook gedaan.

Gelukkig ligt de meeste dreiging niet bij cracken maar bij hacken (over internet). En daar wordt het ineens een heel ander verhaal.
En binnen alle opties is het door de diverse veiligheidslagen binnen Linux gelukkig wel bovengemiddeld veilig. In elk geval veiliger dan de gemiddelde bekende OS'en. Wij zitten met ons LInux behoorlijk safe.
Actuele Linux veiligheid

Klopt, maar ook hier moet je wel gebruik maken van de mogelijkheden. Zo was vroeger (nu nog?) bij Ubuntu de firewall niet of nauwelijks geconfigureerd. Niet erg handig als je met je laptop op een luchthaven zit enz.

Moraal: je OS en zeker Linux kan je een hoop veiligheid geven, maar je moet er dan wel gebruik van maken en tijd steken in het goed configureren van je systeem.

[testcees]

Bij linux weet ik dit eerlijk gezegd niet. Maar werkt de test dvd/stick volgens mij ook. De hdd in een andere pc hangen is dan alweer een stuk moeilijker om bij de bestanden te komen. Volgens mij is bij linux het juiste wachtwoord wel vaker nodig om bij de bestanden te kunnen?

Ook een Linux schijf kan je eenvoudig aansluiten in een andere computer – je bent automagisch root op de geplaatste schijf. 

Wat dit voorkomt is encryptie gebruiken (maar dat moet je dan wel zelf aanzetten, het staat niet standaard aan in Ubuntu):

• http://wiki.ubuntu-nl.org/community/InstallatieVersleuteldeHardeSchijf
• http://wiki.ubuntu-nl.org/community/VersleuteldePersoonlijkeMap

(of alleen https://wiki.ubuntu-nl.org/community/VersleuteldePrivateMap )

[partyrabbit]

Het is trouwens zeer eenvoudig om er encryptie op te zetten en dan werkt deze truuk niet meer.

Ook hier is dit gemakkelijk te voorkomen door schijf encryptie aan te zetten. Zowel voor Linux als Widows.

Mits je de encryptie niet aanzet idd.

Leuk encryptie. En dan vraag ik je (zeker omtrent smartphones) .... wie heeft iets daarin geactiveerd?
Ik kan je het antwoord al geven: vrijwel niemand.
En dus ... klopt in de praktijk wat ik hierboven schrijf.

Wat dit voorkomt is encryptie gebruiken (maar dat moet je dan wel zelf aanzetten, het staat niet standaard aan in Ubuntu):

Klopt. En niet alleen in linux. Dus ook aan jou de vraag .... wie heeft iets daarin geactiveerd? Vrijwel niemand, dus allemaal simpel te kraken.
En als je (zoals hierboven omschreven simpel) het gebruikerswachtwoord cracked wordt ook de encryptie simpelweg vrijgegeven en zijn de bestanden gewoon zichtbaar (want daar is het systeem voor ontworpen, hoe benaderd de gebruiker anders zijn bestanden).

Met een Root linux vraag ik me af of het zo simpel wel gaat. Want voor zover ik weet heb je dan toch ook het gebruikerswachtwoord nodig (wat echter niet zo simpel te kraken is) om door de encryptie heen te komen. De 'andere pc root' heeft niet dezelfde encryptiesleutel. Dat ga ik nog eens een keer testen.
Zonder encryptie heb je wel een punt denk ik. Maar encrypted linux is dus in elk geval moeilijker te kraken dan 'die andere'.

Dit zal je nog tegenvallen. Brute force is zeer gemakkelijk te voorkomen en dit wordt ook gedaan.

Ik heb de nodige brute-force proggies gehad/getest/toegepast en ik kan je toch vertellen dat ze verbazend goed, effectief en simpel werken.
Ik schrok juist dat het geheel niet tegen viel zo simpel. En ik denk dat jij of wie dan ook daar ook van zou schrikken.

Klopt, maar ook hier moet je wel gebruik maken van de mogelijkheden. Zo was vroeger (nu nog?) bij Ubuntu de firewall niet of nauwelijks geconfigureerd. Niet erg handig als je met je laptop op een luchthaven zit enz.

Dat is precies wat ik zeg. Vrijwel niemand heeft zijn systeem goed beveiligd, dus simpel te kraken. Het is echt een zonderling die echt alles potdicht heeft staan. Ik kwam er nog geen tegen zo zeldzaam. En ik heb toch al veel open gebroken en data gered en herstelt op vele tientallen pc's voor bekenden.

En ik kan uit veelvuldige ervaring spreken als ik zeg dat ik al heel wat gekraakt heb   en hoe simpel dat is (altijd legaal, met toestemming waar nodig!)

Moraal: je OS en zeker Linux kan je een hoop veiligheid geven, maar je moet er dan wel gebruik van maken en tijd steken in het goed configureren van je systeem.

Dan hebben we dat ook weer duidelijk. 
Laten we met zijn allen deze reële moraal kenbaar maken voor ieders duidelijkheid.

[partyrabbit]

Ik vraag me ook af wie hier nou precies echte praktijkervaring mee heeft. Wie ook daadwerkelijk wel eens gehacked of gecracked heeft.
Zou een leuke zijn voor een poll.

[youpie123]

Maah, nou nee. Lijkt me nou niets voor dit forum om me daarover te uiten 

[Theo1971]

Ik vraag me ook af wie hier nou precies echte praktijkervaring mee heeft. Wie ook daadwerkelijk wel eens gehacked of gecracked heeft.
Zou een leuke zijn voor een poll.

Ja ik heb eens gegevens van een opnieuw geformateerde harde schijf moeten achterhalen, omdat het vermoeden bestond dat daar een aantal dingen op stonden die niet pluis waren. Let op dit heb ik gedaan met de toestemming van de eigenaresse van de computer die een vriendje had die niet pluis was, haar vermoeden was juist en deze harde schijf is ook ingeleverd bij de politie. Wat ze er precies meegedaan hebben weet ik niet, maar het was in ieder geval voer voor verder onderzoek en wat ik wel weet is dat hij een poosje veilig opgeborgen heeft gezeten.

Ik weet niet of het onder hacken valt, maar heel lang geleden (een kleine 20 jaar schat ik) heb ik mij wel schuldig gemaakt aan een gecoördineerde aanval op een bepaalde site (Stichting Martijn, een pedo vereniging). Dit was een DoS aanval, maar goed toen was het nog niet strafbaar. Vermoedelijk gaat die vlieger vandaag de dag niet meer op, maar toen kon je met een grote groep die 'flooders' gebruikte daadwerkelijk een site plat leggen.

Over encryptie kan ik duidelijk over zijn. Alles wat je kunt coderen kan gedecodeerd worden. Vertrouwen op 'schijnveiligheid' wat encryptie in feite is, is misschien nog gevaarlijker dan ongecodeerd je gegevens ergens opslaan en opbergen waar niemand fysiek bij kan komen.  Privé kan het in een brandkast, maar grote bedrijven hebben daar contracten voor lopen bij gespecialiseerde bedrijven waarbij je niet aan denkt om daar even het terrein op te lopen (bewakers met honden).  Anderen kiezen voor een interne systeem, waarbij deze gegeven opgeslagen zijn op systemen die geen verbinding hebben met de buitenwereld. Mijn belangrijkste gegevens staan ook op een extern iets, en zijn veilig opgeborgen. Niet dat het schokkend materiaal is, maar toch ik geloof niet dat iemand mijn geldzaken hoeft te weten. Mijn huis is redelijk veilig, er lopen 2 honden rond en dat vertrouw ik iets beter dan welke codering dan ook.  Een slimme telefoon gebruik ik amper, omdat ik sowieso al niet veel met zo'n ding heb en je halve leven er in zetten lijkt mij buitengewoon dom.

[MKe]

Ik vraag me ook af wie hier nou precies echte praktijkervaring mee heeft. Wie ook daadwerkelijk wel eens gehacked of gecracked heeft.
Zou een leuke zijn voor een poll.

Ik, maar dan met het beveiligen ervan. En volgens mij doet testcees dit voor zijn beroep. (Het beveiligen dan)

Anders dan hier gezegd wordt is encryptie is gelukkig geen schijnveiligheid mits je een goed algoritme gebruikt en je private key ook echt private blijft.

[partyrabbit]

Anders dan hier gezegd wordt is encryptie is gelukkig geen schijnveiligheid mits je een goed algoritme gebruikt en je private key ook echt private blijft.

Klopt. Wel met de attentie dat de meest gangbare encrypties een bekend algoritme gebruiken en daardoor weer voor matige beveiliging zorgen.

Overigens heb ik niet zo veel boodschap aan beroepen van mensen aangezien ook dat geen garantie voor perfectie is. Zo maak je het regelmatig mee dat ICT-ers websites simpelweg zeer slecht beveiligen. Het ontbreken van SSL verbindingen daar waar ingelogd moet worden om te beginnen.
Ook daar weer ervaring met 'professioneel' geleverde sites die gewoon vol bugs zaten. Toen ik dat leverende bedrijf op een beveiligingsbug attendeerde en welke van hun klanten info op straat hadden liggen waren ze niet blij. Je zou toch verwachten dat ze met zulke informatie heel blij zouden zijn, maar dat duurde eventjes voor ze de waarde er van zagen.
Hetzelfde al eens gehad met een compleet onbeveiligde internetdirectory met een paar honderd bestanden bij een bevriende instantie. Na mijn attentie was het binnen een paar uur ww-beveiligd.
Zelfs eens een bevriende webwinkel mee gemaakt die in een kant-en-klaar winkelscript een bug niet weg gescript had, en daardoor een volledige backoffice gewoon volledig open stond.
Hetzelfde met forums waar een backdoor user #0 in zat die in backoffice niet te zien was, maar wel in de sql (waar niemand in kijkt na install.php uitgevoerd te hebben).
Ook altijd leuk op een verjaardag om een smartphone van 'de techneut' te unlocken omdat ze zo'n simpel ww gekozen hebben.
Jaja. Je maakt het allemaal mee. En schrikbarend vaak. 

Nogmaals, allemaal legaal. Ik ben nooit op uit geweest om op wat voor manier dan ook de wet te overtreden of iemand te benadelen. Iets wat men zelf openbaar benaderbaar laat valt niet onder 'actief toegang verschaffen' en een deel van de voorbeelden die ik vernoem zijn ook nog voorgevallen voor wetgeving inzake en waren derhalve destijds legaal (nu inmiddels niet meer, en dus doe ik dat ook niet meer).

[Theo1971]

Nogmaals, allemaal legaal. Ik ben nooit op uit geweest om op wat voor manier dan ook de wet te overtreden of iemand te benadelen. Iets wat men zelf openbaar benaderbaar laat valt niet onder 'actief toegang verschaffen' en een deel van de voorbeelden die ik vernoem zijn ook nog voorgevallen voor wetgeving inzake en waren derhalve destijds legaal (nu inmiddels niet meer, en dus doe ik dat ook niet meer).

Dat is bij mij ook hetzelfde, ik zal zoiets ook niet meer doen. Wat ik gedaan heb was in een tijd dat het kon en er waren toen ook geen wetten voor (een DoS aanval is bijvoorbeeld sinds 2006 strafbaar). Overigens denk ik dat het wel een goede zaak is dat er 'witte hackers' zijn. Wanneer deze bedrijven kunnen attenderen op lekken kunnen ze er wat aan doen voordat de 'zwarte hackers' ermee aan de haal gaan... Dat laatste wil niemand.

Even inhaken op schijnveiligheid, een bekend voorbeeld is de beveiligde verbinding van WiFi, dat zou lastig te 'kraken' zijn. Hoeveel tools zijn er inmiddels al die dit binnen een mum van tijd kunnen doen. Met de veiligheid van vandaag die een goed algoritme gebruikt, zegt mij nog niks over de situatie van morgen. We hebben een stuk gereedschap voor ons neus waarvan we weten dat de volgende versie alleen maar krachtiger word. Mijn leven is het niet, maar ik weet wel zeker dat er mensen zijn die er bijna voor leven om dingen te kunnen hacken of cracken. Aan de andere kant zijn er weer 'beveiligers' die methodes verzinnen om het ze lastig te maken. Het blijft een kat en muis spelletje en ik kies er liever voor om zo weinig mogelijk betrokken te zijn in het spel, ik heb tenslotte daarin niet veel te winnen.

[MKe]

De algoritmes zijn allemaal opensource, dus algoritme is volledig bekend. Ik heb ze zelf ter leering ende vermaek ook wel eens geschreven  Zonder sleutels maakt dat allemaal geen donder uit.
Totdat de quantum computer er is, is dat heel erg veilig.

[partyrabbit]

(een DoS aanval is bijvoorbeeld sinds 2006 strafbaar).

Zo laat pas?? Was ik me niet eens van bewust.
In elk geval heb ik dan zeker 12 jaar internetvrijheid meegemaakt.  En in die inbeltijden lagen de verbindingen helemaal nog snel plat, routers waren nog onbetaalbaar voor de particulier, firewall bestond nog niet, en alles mocht nog ... 

[Theo1971]

(een DoS aanval is bijvoorbeeld sinds 2006 strafbaar).

Zo laat pas?? Was ik me niet eens van bewust.
In elk geval heb ik dan zeker 12 jaar internetvrijheid meegemaakt.  En in die inbeltijden lagen de verbindingen helemaal nog snel plat, routers waren nog onbetaalbaar voor de particulier, firewall bestond nog niet, en alles mocht nog ... 

Trumpet socket in Windows 3.11. Altavista... Malloten die hun coax kabels, na het loskoppelen van hun pc over de verwarming hingen, those were the days Over 20 jaar lachen de mensen zich kapot om wat wij nu high end en beveiliging noemen. Nog erger is dat er een aantal met weemoed aan denken en denken dat het beter was  

[partyrabbit]

Trumpet socket in Windows 3.11. Altavista... Malloten die hun coax kabels, na het loskoppelen van hun pc over de verwarming hingen, those were the days Over 20 jaar lachen de mensen zich kapot om wat wij nu high end en beveiliging noemen. Nog erger is dat er een aantal met weemoed aan denken en denken dat het beter was

Ja joh. En daarvoor het inbellen op BBS-jes. Ik heb er zelf nog een tijdje een gedraaid. Denk dat ik de diskette met de bbs-software nog wel ergens bewaard heb.

Netscape 2. De knullige zeldzame websites met vooral alleen tekst. Telnet. Ontstaan van altavista en ook de start van hotmail heb ik nog meegemaakt. Ilse.nl. Zonnet, "gratis internet zonder abo voor iedereen". Een dubbelgrote harddisk inbouwen, want die 40Mb werd toch wel te klein. Toen je websites nog kon lezen met je FTP proggie. De eerste 'wachtwoordbeveiligingen' in htm (de l bestond nog niet) en later javascript die totaal open stonden en vooral alleen een visueel afschrikkende barriëre waren. De 32k modems die de 14k4 vervingen met bijna drie keer zo "snel" internet.
En het mooiste van alles was nog de omgeving. "Internet, dat is toch iets in amerika met porno?" 

Ow wat was de nieuwe Win 95 toch snel op die eerste 75khz bakken (mijn 3.11 op een 100khz bak was véél sneller en waarom snapte niemand).
Ik heb wat vrienden geplaagd met Telnet en hun verbinding plat gepacked. Poortjes gesnifferd en weet ik veel wat meer "zit je nou weer te surfen naar plaatjes?" op hun scherm schrijvend. En dan "stop er maar eens mee" op hun scherm terwijl ik het commando verstuurde wat hun pc uit zette.
Ja dat was een leuke tijd.

Maar dat is allemaal dicht gepached, zowel hard- en softwarematig als wettelijk. En op zich wel terecht als je bedenkt naar welk prachtig medium het internet is geëvolueerd. Jammer dat ook hier weer net als bij alle prachtige uitvindingen misbruik opduikt.

[testcees]

Wat dit voorkomt is encryptie gebruiken (maar dat moet je dan wel zelf aanzetten, het staat niet standaard aan in Ubuntu):

Klopt. En niet alleen in linux. Dus ook aan jou de vraag .... wie heeft iets daarin geactiveerd? Vrijwel niemand, dus allemaal simpel te kraken.

Misschien wordt encryptie (nog) weinig gebruikt in de huis-tuin-en-keuken / hobby omgeving maar in de zakelijke markt is encryptie van opslag op mobiele apparaten al langer een “no-brainer”. Zeker met de huidige AVG/GDPR regelgeving.

persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging

Bij mobiele apparaten zit er dan niet veel anders op dan versleutelen/encryptie om hieraan te voldoen, je moet er van uitgaan dat je een mobiel apparaat kan verliezen

mijn 3.11 op een 100khz bak was véél sneller

De eerste PC’s hadden een kloklsnelheid van 4,7 Mhz (4770khz)

[partyrabbit]

Bij mobiele apparaten zit er dan niet veel anders op dan versleutelen/encryptie om hieraan te voldoen, je moet er van uitgaan dat je een mobiel apparaat kan verliezen

Of je zet gewoon geen data op de phone/tablet/laptop maar vpn verbinding met het al aanwezige intranet op de bedrijfsserver. Dat is toch wel de meest gebruikte werkwijze in het bedrijfsleven. 

De eerste PC’s hadden een kloklsnelheid van 4,7 Mhz (4770khz)

Ja die ken ik. Daar moest je dos nog opstarten van de giga diskettes. Daar ben ik op begonnen met programmeren  en daarop maakte ik de eerste  .