GoodReader ist eine Anwendung für das iPad, mit der man die unterschiedlichsten Dateien anzeigen kann. In den allermeisten Fällen werden das PDF-Dateien sein, aber auch Office-Dokumente werden anstandslos angezeigt.

Die App bietet neben den normalen Funktionen auch die Möglichkeit Dateien und Ordner mit einer Passwortabfrage zu versehen. Zeigt man in der Symbolleiste auf das Zahnrad-Symbol, kann man die Passwortabfrage unter “General Settings” aktivieren: “Set password for files & folders”:

Sie sollten dieses Passwort auf keinen Fall vergessen, da es sich nur zurücksetzen lässt, indem man die App deinstalliert und erneut installiert. Nachdem das Passwort gesetzt wurde, kann man im Register “Manage Files” für Dateien und Ordner über die Schaltfläche “Protect” die Passwortabfrage aktivieren. Wurde das Passwort in der aktuellen Sitzung noch nicht eingegeben wird es dabei erneut abgefragt:

Danach erscheint neben dem Ordnersymbol ein kleines Schloss und das Passwort wird abgefragt, sobald sie einen geschützten Ordner oder eine Datei anzeigen wollen.

Wurde das Passwort in der aktuellen Sitzung bereits ein Mal eingegeben, kann man jedoch zwischen verschiedenen Ordnern wechseln, ohne erneut nach dem Passwort gefragt zu werden. Das ändert sich erst, wenn man in den “General Settings” den “Paranoid mode” aktiviert (siehe Abb. oben). Wechselt man dann die App oder sperrt das iPad, dann wird beim nächsten Aufruf des GoodReaders das Passwort erneut abgefragt (natürlich wieder nur einmal).

Neu geöffnete Dateien werden vom GoodReader übrigens standardmäßig in der ersten Ordnerebene gespeichert. Sie müssen also erst in einem Passwort-geschützten Ordner verschoben oder selbst geschützt werden.

Inwieweit die Passwortabfrage die Dateien auch vor unbefugten Zugriff schützt, habe ich bisher noch nicht getestet oder recherchiert. Es empfiehlt sich ohnehin davon auszugehen, dass dem nicht so ist.

Sollte man das iPad jedoch nutzen wollen, um in einer Besprechung ein Dokument weiterzugeben, sind zumindest alle anderen Dokumente, für die die Passwortabfrage aktiviert ist, vor Add-Hoc-Zugriff geschützt – besser als nichts. Aktiviert man zusätzlich noch “Ask Password on startup” (siehe Abb. oben), so wird ein weiteres Passwort für das Starten der App aktiviert.

Wenn man sein iPad vor unbefugtem Zugriff schützen möchte, kann man in den allgemeinen Einstellungen die Code-Sperre aktivieren. Schaltet man das iPad ein, wird man dann aufgefordert, es zu entriegeln:

In der Standardeinstellung sieht man neben dem Schieber zusätzlich ein kleines Blumen-Symbol. Wenn man auf das Symbol zeigt, aktiviert man die Bilderrahmenfunktion des iPads, ohne dass zuvor der eingestellte Code abgefragt wird.

Wenn man das iPad als Bilderrahmen im Büro verwenden möchte – auch wenn es gesperrt ist – dann ist die Standardeinstellung möglicherweise interessant. In den allermeisten Fällen möchte man allerdings mit der Code-Sperre erreichen, dass alle Daten auf dem iPad vor unbefugten Zugriff geschützt sind. Dazu zählen natürlich auch aufgenommen und übertragene Bilder. Hierzu muss man die Einstellungen der Code-Sperre anpassen:

Nachdem man den zuvor eingestellten Code eingegeben hat, kann man im nächsten Menü die Bilderrahmenfunktion deaktivieren:

Danach führt das Sperren des iPads tatsächlich dazu, dass alle Daten – also auch die Bilder – geschützt sind und auch das Blumen-Symbol ist verschwunden:

Wie man in einem Standardbrowser erkennt, ob man eine Verschlüsselte Webseite geöffnet hat oder nicht, sollte hinlänglich bekannt sein. Wie aber erkennt man das mit dem iPad Standard-Browser Safari?

1. unverschlüsselte Seiten

Fangen wir mit der einfachsten Übung an: unverschlüsselte Seiten. Wie erkennt man, dass die aufgerufene Webseite kein SSL verwendet? Sie müssen dazu lediglich auf das Adressfeld in der Titelleiste tippen und schon wird neben der Adresse der Webseite auch das verwendete Protokoll (HTTP oder HTTPS) angezeigt:

2. verschlüsselte Seiten

Einfacher wird es, wenn es darum geht eine verschlüsselte Seite zu erkennen. Dies zeigt Safari über dem Adressfeld durch ein kleines Schloss-Symbol an. In diesem Fall werden Schloss und Schrift grau angezeigt. Zeigt man mit dem Finger auf das Adressfeld, so erscheint hier die vollständige URL mit dem verwendeten Protokoll:

3. EV-Zertifikate

EV-Zertifikate kann man genauso erkennen. Einziger Unterschied ist, dass das Schloss und die Schrift nicht in grau sondern in grün dargestellt wird:

Die SANS hat eine neue Liste der Top 25 Softwarefehler veröffentlicht: Top 25

Die Liste soll dabei helfen, Fehler zu vermeiden, die zu kritischen Schwachstellen führen können, die dann in gezielten Angriffen oder von Malware ausgenutzt werden können. Die Plätze 1 bis 3 gehen an SQL-Injection- und OS-Command-Injection-Schwachstellen und Buffer Overflows. Auf der Webseite steht auch einiges an Zusatzmaterial zu den Top 25 bereit.

Wer in einem fremden Auto geblitzt wurde, der konnte bislang der Strafverfolgung entgehen, wenn bloß alle dicht gehalten haben. In Zeiten von Facebook, XING und Co. ist das natürlich vorbei. Davon berichtet jetzt Spiegel-Online in einem Artikel. Dem Bericht zufolge sucht die Polizei gezielt bei Xing und Facebook nach Fotos von Verkehrssündern und gleicht diese mit Blitzerfotos ab:

Die „Morgenpost“ berichtet online von einem konkreten Fall, in der ein Geschäftsmann in einer Abstandsmessung geblitzt wurde. Per Anwalt berief sich der Abstandssünder darauf, nicht gefahren zu sein. Die Beamten fanden den Mann auf ihren Beweisfotos auch im Internet – Widerspruch zwecklos.

Diese denkwürdigen Worte hörte ich am Anfang der Woche nach dem Vortrag “Potenziale des neuen Personalausweises für Unternehmen” aus dem Munde des Leiters des Test und Demonstrationszentrums neuer Personalausweis (Fraunhofer-Instituts FOKUS). Er hatte während seines Vortrags auf der DuD einiges über die Sicherheitsfunktionen des ePA berichtet und nur am Rande erwähnt, dass die AusweisApp z.B. am 09.11. aus dem Netz genommen wurde. Statt die damals vorhandenen Sicherheitsmängel anzusprechen brachte er das mit der schwierigen Geschichte dieses Datums in Deutschland in Verbindung. Nach dem Vortrag sprach ich ihn darauf an, dass er dem Publikum verschwiegen hatte, warum die AusweisApp aus dem Netz musste. Seine knappe Antwort:

“Ich hab so einiges verschwiegen.”

Ich gehe jetzt einfach mal davon aus, dass er damit viele weitere Sicherheitsfunktionen gemeint hat, die man bisher noch nicht bekannt gegeben hat.

Die Beantwortung von Publikumsfragen zu Kartenlesern lehne er übrigens von vorneherein ab.

Haben Sie schon Mal von Vishing gehört? Das ist das Kunstwort für Voice Phishing. Man bekommt also keine Mail, mit der man dazu gebracht werden soll, PINs und TANs zu verraten, sondern einen Anruf, der genau das versucht. Das Thema schein zumindest so relevant zu sein, das sich Skype veranlasst fühlt, darüber zu bloggen.

Skype offers privacy control options to keep users protected from unwanted communications. Windows users should just open Tools -> Options -> Privacy and set your preferences for receiving communications, while Mac users can find these settings under Skype -> Preferences -> Privacy. We recommend that you do not authorize calls from people you do not know.

Heute halte ich auf der Berliner Fachkonferenz Datenschutz und Datensicherheit (DuD) einen Vortrag zu meinem Buch Konfliktmanagement für Sicherheitsprofis. In den Konferenzunterlagen ist ein Probekapitel enthalten, das ich den Lesern des Blogs und den Konferenzteilnehmern hiermit auch zum Download zur Verfügung stellen möchte.

Informationen zum Buch:

“Konfliktmanagement für Sicherheitsprofis”

Auswege aus der Buhmann-Falle für IT-Sicherheitsbeauftragte, Datenschützer und Co.

2010, Vieweg+Teubner-Verlag

ISBN-13: 978-3834810106

Leserstimmen:

“Als betroffener IT-Sicherheitsexperte habe ich selten so ein kompaktes, klares und gut verständliches Kompendium, welches die Problembereiche von Sicherheitsexperten beschreibt gelesen. Ein durchweg gelungenes Werk.”

“Ich finde, das Buch hilft hier wirklich weiter.”

“Gehört daher ins Regal jedes Sicherheits- und Datenschutz-Profis. Ganz sicher!”

Auf der Webseite Attrition.org findet man eine sehr übersichtliche Tabelle zu den mittlerweile 12 Sony-Hacks. Denial-Of-Service-Attacken sind in der Aufstellung übrigens nicht enthalten. Am 26.04. fängt die Liste an und sie geht bis zum aktuellsten Angriff vom 03.06.

Auch nicht zu verachten ist die ohne Anspruch auf Vollständigkeit zusammengestellte Gesamtliste der Sony-Hacks, die seit 1999 bereits weitere 39 Defacements und 2 Datenverluste aufführt!

Noch während ich das schreibe kommt übrigens ein weiteres Defacement hinzu: Sony Brasilien.

F-Secure bietet mittlerweile eine Anti-Virus-Software für den Mac an. Das 12-Monats-Abo kostet 19,95 €. Wie The Hacker News berichtet, funktioniere der Echtzeitschutz wunderbar. Ein manueller Scan jedoch dauere mehrere Stunden und verbrauche bis zu 80 % der Prozessorleistung, bei einer 128 GB SSD Festplatte, die mit 45 GB belegt ist.

Für Vorname, Nachname und E-Mail-Adresse bekommt man bei F-Secure eine 30 Tage Testversion. Auf meinem 13″ MacBook Pro (Mac OS 10.6, 2,7GHz Intel Core i7 mit 4GB RAM) verbraucht der Echtzeitschutz weniger als 1% der Prozessorleistung. Ein Scan der Basisordner verbrauchte bei mir ca. 5 % Prozessorleistung und dauerte für meine 450 GB an Daten ca. 45 Minuten, also durchaus passable Eckdaten.

Spannend: Der Scanner hat sogar was gefunden: Ein Exploit für pdf-Schwachstelle CVE-2010-1297! CVSS-Score: 9.3; Confidentiality Impact: Complete; Integrity Impact: Complete; Availability Impact: Complete. Das kommt dabei heraus, wenn man mal eben schnell ein Antivirenprodukt testet. Interessanterweise stellte sich bei mir trotzdem keine Schockstarre ein, denn:

Bei der betroffenen Datei handelt es sich um launch-action-cmd.pdf und das ist glücklicherweise nur ein PoC-File von Didier Stevens zur entsprechenden Schwachstelle (siehe Blog-Beitrag). Der Download wird übrigens ebenfalls ordnungsgemäß geblockt:

Die betroffene pdf-Datei wurde von F-Secure Anti-Virus allerdings schlicht in den Papierkorb verschoben. Eigentlich kein so guter Ort für ein Exploit, oder?!