Eingebaute Unsicherheit
Alle beschriebenen Lösungen haben einen gravierenden Nachteil: Bei keinem der Geräte kann der Administrator von einem sicheren Endgerät ausgehen. Auf die Thematik eines sicheren Grundzustands bei einem Smartphone oder Tablet vom Bootloader bis zum Betriebssystem geht ein anderer Artikel in diesem Schwerpunkt detaillierter ein.
Doch schon im Bereich der VPNs zeigen sich bei Android, I-OS und Web OS teilweise eklatante Schwächen. So offeriert beispielsweise Android (übrigens RFC-konform) dem Anwender, der mit dem L2TP-Protokoll mit IPsec und Zertifikat-basierter Authentifizierung einen Tunnel aufbauen will, in einem Pop-up die Frage »Jedes Zertifikat aus unbekannter Quelle akzeptieren?«
, wenn bei der Initialisierung etwas falsch lief.
Dahinter kann sich durchaus ein Man-in-the-Middle-Angriff verstecken, etwa wenn ein Staat oder ein Admin Zugriff auf den Mobilfunkbetreiber hat und das Zertifikat während des Verbindungsaufbaus austauscht. Klickt der Anwender hier schnell auf »Ok«
, kann der Admin des Mobilfunkrouters den ganzen Traffic mitlesen, obwohl sich der Benutzer sicher wähnt. Derartige Router gibt es im Internet für wenige Tausend Euro.
Ein weiteres Problem ergibt sich daraus, wie VPN-Key und -Zertifikat aufs Gerät kommen und wie sie dort abgelegt sind. iPhones oder andere Telefone ohne Kartenleser scheiden hier für sicherheitsbewusste Anwender von vornherein aus, wenn sie keinen sicheren Speicherbereich in Form einer verschlüsselbaren SD-Karte oder gar einer Cryptocard vorsehen. Aber auch bei allen anderen Geräten hat ein Angreifer prinzipiell immer die Möglichkeit, kritische VPN-Daten im Arbeitsspeicher auszulesen, zum Beispiel den benutzten Schlüssel.
Sicherer Speicher?
Auch wenn heutzutage fast jedes Smartphone vorgibt, mit VPNs verschiedener Couleur arbeiten zu können, sollte sich ein sicherheitsbewusster Admin deshalb nicht allzu beschützt wähnen. Schon der Speicherort der Verschlüsselungskeys und Zertifikate offenbart ein Minenfeld: Erst ab Android-Version 3 (Honeycomb) kann der Anwender alle privaten Daten auf dem Gerät verschlüsseln [12]. Die Datenverschlüsselung des iPhone hält Crypto-Experte Bruce Schneier für leicht zu knacken [13] und bei Web OS gibt es Data Encryption sogar nur als Zusatz-App, zum Beispiel Secret! [14]. Hinzu kommen noch manche Fehler in Protokollen, Stacks und Update-Mechanismen, die ein sicheres Endgerät fast unmöglich machen. Das aber wäre eine zentrale Voraussetzung für den geschützten Unternehmenszugang.
Diesen Artikel als PDF kaufen
Express-Kauf als PDF
Umfang: 4 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Als digitales Abo
Weitere Produkte im Medialinx Shop »
Versandartikel
Onlineartikel
Alle Rezensionen aus dem Linux-Magazin
- Buecher/07 Bücher über 3-D-Programmierung sowie die Sprache Dart
- Buecher/06 Bücher über Map-Reduce und über die Sprache Erlang
- Buecher/05 Bücher über Scala und über Suchmaschinen-Optimierung
- Buecher/04 Bücher über Metasploit sowie über Erlang/OTP
- Buecher/03 Bücher über die LPI-Level-2-Zertifizierung
- Buecher/02 Bücher über Node.js und über nebenläufige Programmierung
- Buecher/01 Bücher über Linux-HA sowie über PHP-Webprogrammierung
- Buecher/12 Bücher über HTML-5-Apps sowie Computer Vision mit Python
- Buecher/11 Bücher über Statistik sowie über C++-Metaprogrammierung
- Buecher/10 Bücher zu PHP-Webbots sowie zur Emacs-Programmierung
Insecurity Bulletin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...