Taggat med: apple

📱 Apple genomför säkerhetshöjande åtgärder

Apple säkerhet

Apple meddelande på det senaste WWDC-eventet att de nu avser att genomföra ett antal säkerhetshöjande åtgärder inom snar framtid eller i iOS 9 som nu är ute i beta-version.

Några av dessa åtgärder omfattar följande fyra:

1. HTTPS som standard i Appar – Appar nu måste specifikt be om tillstånd för att använda http. Detta är som ett led att få alla appar att köra krypterad kommunikation över https. Denna åtgärd gäller från och med iOS version 9.

2. Förbättrad PIN – Den som använder PIN-kod för att låsa sin iPhone etc måste nu använda minst 6 siffror i sin kod istället för 4 som var standard tidigare. Detta ökar sökrymden från 10000 till en miljon olika kombinationer för den som försöker forcera koden. Att använda siffror som PIN-kod kommer dock fortfarande inte att krävas.

Och för den som vill höja säkerheten mer bör stänga av funktionen ”enkelt lösenord” och istället använda ett lösenord bestående av både siffror och bokstäver. Läs även vad Anne-Marie Eklund-Löwinder skrev om hur man skapar ett bra lösenord här.

3. 2FA – Nytt gränssnitt för tvåfaktorsautentisering som kopplar inloggningen mot en fysisk plats för inloggningsgodkännande:

iCloud 2FA4. VPN API – Detta är en synnerligen intressant ny funktion. Med detta nya API för VPN-anslutningar så medges appar att skapa up VPN och krypterade proxyanslutningar vilket troligtvis öppnar upp för Tor och OpenVPN. Även så har OpenVPN fått förhandsåtkomst till detta API som nu öppnas upp för alla (se appen OpenVPN Connect).

Även så har Cisco AnyConnect använt detta odokumenterade API sedan många år.

 

Apple börjar med tvåfaktorsautentisering

Sent som sider så börjar även Apple med tvåfaktorsautentisering. Facebook, Google och Dropbox erbjuder tvåfaktorsautentisering sedan en tid tillbaka och nu tar även Apple steget ut att erbjuda sina kunder säkrare inloggning.

Apple använder sig av engångskoder som skickas ut via SMS men fungerar enbart i USA, England, Australiem, Irland eller New Zeeland i dagsläget.

Apple_tvåfaktor

Läs här hur du går tillväga för att slå på tvåfaktorsautentisering på ditt AppleID:

Apples kryptobugg i Lion

När Apple nyligen släppte sin senaste uppdatering till dess operativsystem Mac OS (10.7.3) så glömdes en debug-utskrift kvar där lösenordet till användare förekommer i klartext.

Detta är extra känsligt eftersom FileValut, den kryptering som används för användares hemkataloger då kan återskapas. Använder du FileVault 2 så (full-disk) så berörs du ej av denna bugg.

Buggen identifierades av David Emery och beskrivs på följande sätt:

Det är värre än vad det verkar som, eftersom loggen i fråga kan läsas genom att starta upp maskinen i firewire disk-läge och läsa den genom att öppna enheten som en skiva eller genom att starta upp nya medföljande-LION återställningspartitionen och med hjälp av tillgänglig superanvändare montera filsystemet och läsa debugfilen. Detta skulle göra det möjligt att bryta sig in i krypteradepartitioner på maskiner som de inte har en aning om eventuella inloggninglösenord för.

Skärmdump från loggfilen:

HTTPS Everywhere version 1.0

Webbläsarverktyget HTTPS Everywhere finns nu ute i version 1.0. HTTPS Everywhere är ett verktyg som gör att många av de vanligaste webbsajterna vi surfar till dagligen använder den krypterade versionen av webbsurf dvs https. I dagsläget så ligger runt 1000 sajter inlagda i verktyget att automatiskt gå över till https istället för http.

Tyvärr så fungerar HTTPS Everywhere enbart till Firefox i dagsläget. Begränsningar i API:t hos Safari och Chrome gör att det ej är möjligt att göra ett verktyg som HTTPS Everywhere. Vi hoppas så klart att både Apple och Google kommer att införa förändringar i dess webbläsare  som gör det möjligt att tvinga fram https.

HTTPS Everywhere kommer från frihetskämparorganisationen EFF som även står bakom verktyg såsom Tor.

Här kan du ladda hem verktyget: https://www.eff.org/https-everywhere

Felaktig certifikatkontroll i iPhone iOS

En allvarlig säkerhetsbugg har upptäckts i Apples mobiltelefon iPhone som använder operativsystemet iOS. Denna typ av attack upptäcktes för nio år sedan och har drabbat exempelvis webbläsaren Internet Explorer tidigare.

Denna bugg medger att någon kan göra en aktiv, oupptäckbar MITM (man-in-the-middle) attack mot TLS/SSL-krypterade anslutningar. För detta kan verktyget sslsniff användas som även uppdaterats.

Buggen hittades av Gregor Kopf (Recurity Labs) samt Paul Kehrer ( Trustwave’s SpiderLabs). Recurity Labs har genomfört granskningar av iOS på uppdrag av tyska myndigheten Federal Office for Information Security (BSI).

Mer information finns hos Apple, Sophos eller H-Online.

Uppdatering: Buggen är så klart fixad av Apple sedan iOS version 4.3.5 som släpptes för några dagar sedan.

Mac OS X Lion hårddiskryptering

Uppdatering: Om du vill se prestanda bör du kolla här  (PGP WDE) eller här.

Nu när Apple har släppt en ny version av dess operativsystem som går under namnet Mac OS X Lion så finns det stöd för full hårddiskryptering. Med detta menas att hela hårddisken kan krypteras och fungera mer eller mindre transparent mot program, filsystem (HFS+) och användaren.

Apple kallar denna funktion för FileVault och tidigare har denna typ av kryptering enbart fungerat för hemkataloger. Lion ser ut att använda AES-XTS.

Skärmdump:


 

ElcomSoft knäcker iPhone iOS kryptering

Det ryska företaget ElcomSoft har hittat en metod som gör det möjligt att läsa ut och knäcka Apple iPhones hårdvarukryptering. Detta genomförs med hjälp av en specialskriven kernel som kan startas upp i telefonen då denna är i uppgraderingsläge även benämnt DFU (Device Firmware Upgrade).

Detta är infört i en av dess produkter som enbart säljs till lagförande myndigheter som är i behov av forensiska undersökningar. Dess produkt kan även återskapa raderat innehåll från telefonen.

När sedan innehållet från telefonen är utkopierat kan andra verktyg som Guidance EnCase eller AccessData FTK användas för ytterligare undersökningar av innehållet.

Apple får en ny Director of Global Security

Apple har nyss anställt David Rice som Director of Global Security. David kommer senast från en anställning vid amerikanska myndigheten NSA. Det är i dagsläget oklart vad denna nya befattning innebär.

Apple har tidigare anställt ett antal IT-säkerhetsproffs såsom Window Snyder som var head of Security på Mozilla, Jon Callas  som var CTO på PGP.

Källa: H-Online

Kryptering med iPhone

Flera företag frågar efter kryptering i iPhone men någon sådan finns ännu inte. Många företag väljer därför att inte köpa iPhone förrän Apple släppt stöd för kryptering.

Det utvecklingskit (SDK) för iPhone tillåter kryptering men dock inte för allt innehåll i telefonen.

”[Apple] had better open up the SDK for full device encryption if they want to be taken seriously as a business device,” Gold said. ”It’s not optional. I could never see a large enterprise that’s security conscious deploying this device. It’s just too risky.

Läs artikeln ”iPhone encryption is a must for the security-conscious enterprise” här.