DeviceEncryption
Immer mehr mobile Geräte ziehen in Firmen und Privathaushalte ein, die natürlich per ActiveSync sich auch mit dem Postfach abgleichen können. Mail ist aber nicht mehr alles und im Postfach vieler Personen befinden sich schützenswerte Daten. für PCs gibt es natürlich Bitlocker oder Verschlüsselte Festplatten. Weniger stark sind z.B. Kennworte auf Festplatten. Ungeeignet sind Bios-Kennworte.
Bei Mobilgeräten gibt es meist keine tauschbare Festplatte aber dafür SD-Karten-Steckplätze, auf denen Daten liegen können. Auch wenn Geräte für den Anwender nicht zu öffnen sind, so kann ein Angreifer sehr wohl ein Gerät öffnen. Teilweise ist sogar über den USB-Anschluss ein Zugriff auf das Geräte unter umgehung der Schutzfunktionen möglich. Insbesondere wenn auf dem Gerät ein Debugging-Mode (Android) aktiv ist oder das Gerät vorher geROOTed (oder JailBreak) wurde. Eine Verschlüsselung kann daher nur so gut sein, wie die schwächste Komponente.
Da niemand beim Start eines Geräts lange Kennworte eingibt, sind die Schlüssel zur Verschlüsselung immer mit auf dem Gerät gespeichert aber durch die PIN gesichert, die natürlich als erstes durch eine Richtlinie vorgeschrieben werden sollte. Solange das Gerät nach einer bestimmten Menge an Fehlersuchen den Masterkey (IOS) oder sich selbst komplett (z.B. Symbian) löscht, ist ein Fremdzugriff zumindest erschwert. Der Anwender muss seine Pin natürlich entsprechend gegen Ausspähen sichern.
Kritisch wird es, wenn über einen Seiteneingang der Speicher ausgelesen werden kann. So kann ein Angreifer eine Kopie der verschlüsselten Daten samt per PIN gesicherten Key erhalten und dann offline unter Umgehung eines Zählers alle PIN-Varianten durchgehen, bis der Key passt. Normale Arbeitsplatzrechner mit Windows Bitlocker können den Key z.B.: in einem TPM-Chip ablegen, der diesen nur bei unveränderter Startkonfiguration freigibt. für Mobiltelefone sind die Informationen zum Schutz eher dünn gesät und ein Stück weit muss man den Versprechen der Hersteller glauben.
Gerätetyp | Device Encryption | Speicherkarte | per EAS Policy erzwingen | Aktivierung | Reversibel | SideAttack |
---|---|---|---|---|---|---|
Apple IOS6 |
|
Nicht vorhanden |
|
|
Nein |
? |
Android 2 |
|
nicht verfügbar |
Blockierung |
Verbindung gar nicht möglich. |
Entfällt |
Entfällt |
Android 3 |
Teilweise verfügbar |
nicht getestet |
nicht getestet |
nicht getestet |
Nicht getestet |
|
Android4 |
Per Default NICHT aktiv |
Nicht vorhanden (Nexus 4) |
|
|
Reset auf Werkseinstellungen |
Kennwort kann ohne Limit wiederholt werden. |
Windows
Mobile 6.5 |
Per Default nicht aktiv |
Ja |
|
|
Reset auf Werkseinstellungen |
Pin kann unbegrenzt wiederholt werden. 4 Stellen = 10.000 Pins a 10 Sek = 27h Arbeit. |
Windows
Mobile 7.5 |
|
Im LG Optimus nicht vorhanden |
Blockierung |
Gerät kann nicht verschlüsseln, ActiveSync nicht möglich. |
Entfällt |
? |
|
Nicht verschlüsselt |
|
|
Nein |
? |
|
Symbian |
|
Nicht getestet |
|
|
Nein |
|
Die gerätespezifischen Seiten sind in folgende Abschnitte gegliedert:
- Aktivierung mit ActiveSync
Richtlinie
Was bemerkt der Anwender, wenn per ActiveSync-Richtlinie die Verschlüsselung des Geräts erzwungen wird. Muss er zustimmen oder wird er nur informiert oder sieht er es nicht mal ?. Was passiert, wenn er nicht zustimmt ? - Verschlüsselung
Wie erfolgt die Verschlüsselung, nachdem der Anwender zugestimmt hat ? - Start
Wie verändert sich die Bedienung des Telefons beim Start durch die Verschlüsselung - Entschlüsselung
Wie bekommt ein Anwender die Verschlüsselung wieder vom Gerät herunter ?
Wie sicher ist sicher ?
Die Daten auf einem Telefon können noch so stark verschlüsselt sein, wenn der Masterkey nicht ausreichend geschützt ist. Alle mir bekannten Mobilgeräte nutzen dazu die Geräte-PIN, um diesen Key zu schützen und das Gerät sollte sich natürlich bei mehrfach falsch eingegebener PIN auch Löschen, die Eingabe verzögern oder sonst wie eine Brute-Force-Attacke unterbinden. Aber dann kann immer noch die eigentliche Geräte-Pin helfen, welche ja ebenfalls abgefragt wird und bei zu vielen Fehlversuchen das Gerät löscht.
Hinweis Android 4
Hier konnte ich die PIN unbeschränkt eingeben.
Selbst die 30Sek-Sperre lässt sich beim Nexus 4
durch zweimaligen Druck der Sperrtaste rechts
einfach zurücksetzen. Eine 4 stellige Pin ist
mit etwas Übung auch per manuellem Brute Force
schnell geknackt.
Ein zweiter Weg ist es, den Speicher des Smartphone zu kopieren, um dann z.B. offline mit einer Brute-Force-Attacke die PIN-Varianten durch zu gehen und zu prüfen, ob mit dem damit entschlüsselten Masterkey sinnvolle Daten erhalten werden können. Ich kann leider nicht immer auf dem "aktuellen Stand" der Angriffstechniken sein und sicher werden nicht alle Fachleute ihre Fähigkeiten öffentlich machen. Insofern bleibt immer ein Restrisiko das Sie vielleicht damit reduzieren können, dass Sie sie Anzahl der Daten auf dem Smartphone reduzieren und bei einem Verlust nicht nur das Gerät "Wipen", sondern auch gleich die Kennworte aller Dienste ändern, die Sie auf dem Smartphone vielleicht gespeichert haben. Da ist nicht nur ActiveSync, sondern sicher auch Facebook, Twitter etc.
- Passwortklau durch gekühlten Speicher
http://www.heise.de/security/meldung/Passwortklau-durch-gekuehlten-Speicher-182603.html
Verschlüsselung erzwingen
Dennoch ist es natürlich auf jeden Fall ratsam einen Mindeststandard durch Richtlinien über ActiveSync oder andere Provisioning-Systeme (Siehe auch Mobile Device Management) durchzusetzen. Bei Exchange ist dies eine Checkbox in den ActiveSync Richtlinien
Ehe Sie die Einstellung nun an der "Default Policy" machen, sollten Sie vielleicht eine zweite Richtlinie anlegen und diese den Pilotbenutzern zuweisen. Das geht auch per PowerShell:
new-ActiveSyncMailboxPolicy ` -Name 'EAS Encrypt' ` -AllowNonProvisionableDevices $false ` -DevicePasswordEnabled $true ` -AlphanumericDevicePasswordRequired $false ` -MaxInactivityTimeDeviceLock '00:10:00' ` -MinDevicePasswordLength '6' ` -PasswordRecoveryEnabled $true ` -RequireDeviceEncryption $true ` -AttachmentsEnabled $true ` -AllowSimpleDevicePassword $true ` -DevicePasswordExpiration 'unlimited' ` -DevicePasswordHistory '0' ` -MaxDevicePasswordFailedAttempts '10'
Die Werte sollten Sie natürlich ihren Anforderungen entsprechend anpassen.
Hinweis:
Eine ActiveSync-Richtlinie kann immer nur an
ein Postfach und nicht an ein Gerät gebunden
werden. Achten Sie daher darauf, wenn ein
Postfach mehrere Geräte verwendet, dass alle
Geräte wie "erwartet" reagieren.