Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 21, views: 13.416 •

Samsung heeft Knox aangekondigd, een beveiligingsplatform waarmee zakelijke software en data door middel van een container afgeschermd kan worden van het privédeel op een Android-apparaat. Daarvoor wordt gebruik gemaakt van Security Enhanced Android.

De broncode van SE Android, ofwel Security Enhanced Android,werd vorig jaar uitgebracht en is ontwikkeld door de Amerikaanse inlichtingendienst NSA. De architectuur is gebaseerd op SELinux en bevat een aantal patches op kernelniveau om het OS veiliger te maken. Zo wordt mandatory access control toegepast waarbij de rechten van gebruikers worden aangescherpt.

SAFESamsung kiest bij Knox voor een aantal aanvullende beveiligingen, waaronder het aanbieden van een container voor het opslaan van zakelijke data en software. Binnen deze container worden de gegevens met het aes256-algoritme versleuteld en Knox zou voorkomen dat malware toegang krijgt tot bedrijfsgegevens. Hierdoor kan Knox op een apparaat van bijvoorbeeld een werknemer geïnstalleerd worden en kan een onderneming beter inspelen op de zogenaamde bring-your-own-device-trend, zo stelt Samsung.

Knox, dat wordt aangeprezen in de Samsung For Enterprise-campagne en in het tweede kwartaal beschikbaar komt, biedt volgens het Koreaanse bedrijf ook de mogelijkheid om vpn-verbindingen op te zetten, toegang te krijgen tot directory-services en er kunnen policies voor de eindgebruiker ingesteld worden. De software moet Samsung in staat stellen om met de Galaxy S 3 en Galaxy Note 2 terrein te veroveren op met name BlackBerry die traditioneel in de zakelijke markt een sterke positie heeft. BlackBerry heeft echter in de onlangs uitgebrachte versie 10 van zijn besturingssysteem onder de naam BlackBerry Balance een feature uitgebracht die vergelijkbaar is met Knox.

Reacties (21)

Dit vind ik een grote vooruitgang, Android's veiligheid was nooit het beste punt van het besturings systeem, misschien dat door deze software meer bedrijven zichzelf nu toch meer op android(Samsung) gaan focussen in plaats van IOS.
Het is goed van Samsung om eens goed te kijken naar de beveiliging van hun telefoons. Android staat nu niet bepaald voor de best beveiligde OS. Iets wat voor bedrijven wel van belang is. Knox is in feite een soort sandbox, zoals ik het heb begrepen en waarin de data beveiligd is. Iets wat Android uit zichzelf ook wel zou mogen inbouwen. Gewoon applicaties in een sandbox draaien kan al veel malware tegen gaan - denk ik.
Gewoon applicaties in een sandbox draaien kan al veel malware tegen gaan - denk ik.
Nee helemaal niet, het draait allemaal al in een soort van sandbox, er is dan ook geen malwares wat zomaar op je telefoon komt dat moet de gebruiker al hoogst persoonlijk installeren en door de gebruiker te accepteren rechten...

Waar denk je anders dat dat rechtensysteem vandaan komt? Precies uit de sandbox :) Een app kan dan ook geen functies uitvoeren waar geen rechten voor gevraagd zijn oftewel een sandbox-omgeving...

Tenzij de app het device root maar dat is bij de huidige malware totaal niet aan de orde...

[Reactie gewijzigd door watercoolertje op 25 februari 2013 18:26]

Ik weet niet hoe je erbij komt maar Sandbox techniek kwam veel later dan gebruikers/bestandsrechten. Het rechtensysteem bestond al ten tijden van UNIX.
De apps draaien al binnen een sandbox in Android en spreken API's aan om taken uit te voeren. Het aanspreken hiervan zorgt ervoor dat de app ook buiten de sandbox om kan (anders kan deze bijv. niet met internet communiceren). Teveel rechten geven aan een (kwaadaardige) app betekent dus dat deze taken kan uitvoeren en dan heeft het hele sandboxsysteem weinig zin meer.
Dit was wat Watercoolertje kort probeerde te beschrijven m.i.
Je wilt beweren dat het rechten systeem binnen het sandbox draait? per applicatie?
Dat lijkt me zeer onlogisch.

Ik denk eerder dat sandbox bovenop het rechten systeem draait en daar pas bepaald wordt welke rechten aan de orde zijn.
Leuk maar ik volg het wel niet helemaal? Heeft al dalvik app dan zijn eigen selinux context of draaien er gewoon 2 dalvik vm's met elk hun eigen selinux context?
Dalvik apps draaien sowieso altijd al (als ik het me goed herinner) als losstaande processen die dus hun eigen context krijgen. Die zijn alleen niet goed te volgen dus het taakbeheer gebeurt nog wat abstracter in een andere laag in het OS, en die zal waarschijnlijk gepatcht zijn zodat elke app wel zijn eigen SElinux-context kan meekrijgen.
Ik ben heel erg paranoia (en onwetend) en vraag me af hoe de NSA hier achterdeuren in kan hebben gezet.

Hoe ontdek je iets dat:
-iets wat op afstand wordt geactiveerd en voor de rest altijd dood is
-1x per maand een update sturen van telefoonnummer en waar je 's nachts uithangt
-pas iets stuurt als het heel vaak op het binnenhof is

Misschien dat mensen voorbeelden kennen uit Linux zelf?

[Reactie gewijzigd door exorbitex op 25 februari 2013 19:37]

Al het (ongewenst) verkeer met de buitenwereld kan je monitoren. Laat het apparaat via je router lopen en je ziet alles.
Het kan en zal dus wereldkundig gemaakt worden, mocht de software "naar huis bellen"..
Gedachte verder: als ik vaak op het binnenhof ben (=politicus die weten toch vaak niks) dan ga ik pas op het moment dat ik een onbewaakt wifi tegenkom iets de wereld insturen?

Kan je malware pro-actief software herkennen die op de telefoon wordt geinstalleerd en traffic monitort en hier "omheen" werken?
De code is openbaar, dus die kan iedereen inzien. Daar is je antwoord :)
Maar wie zegt dat die code ook gebruikt is in de binaries die je op je telefoon hebt draaien?
Samsung in dit geval.
De NSA is ook de drijvende kracht achter SELinux waar Security Enhanced Android dus op gebaseerd is. Van beide is de broncode vrijelijk inzichtelijk, wél zul je kennis van zaken moeten hebben om de concepten, keuzes en implementatie te kunnen begrijpen. SELinux wordt binnen Red Hat (en afgeleide) distributies al jaren toegepast.

Daarnaast: om jezelf te ontwikkelen zul je op een gegeven moment iemand moeten vertrouwen (dit is universeel te interpreteren). Om dat wat kracht bij te zetten: wie zegt dat er geen backdoors in processoren worden gebouwd? Ook daar zijn feiten/fabels of geruchten over. Bijvoorbeeld:

http://hexus.net/tech/new...y-chip-security-backdoor/
Je poorten monitoren en met sniffer zien wat er in en uit gaat?
Door het concept dat de broncode openbaar is, is Linux dus veilig. Dan ga ik er vanuit dat door de vele mensen die ernaar hebben gekeken het veilig is. Daar durf ik wel op te vertrouwen.

Met dat laatste ben ik het juist minder eens. Juist om wat je zegt. Backdoors in processoren. Computers met pre-installed malware.
Ik denk dat jezelf ontwikkelen meer te maken heeft met aanvaardbare risico's nemen. Dat is m.i. totaal iets anders. Technologie gemaakt door een andere natie is altijd inherent gevaarlijk.

Maar ook op persoonlijk vlak door pre-installed malware en de KLPD-virussen e.d. Ik krijg het idee dat er nu in het criminele circuit meer geld dan ooit wordt verdiend met dit soort praktijken. Die jongens zitten niet stil en hebben ook door dat ze moeten ontwikkelen om geld te blijven verdienen. Innoveren/leren/studeren dus. Als jij een paar slimme Oekraiense programmeurs, die afgestudeerd en werkeloos zijn, aanneemt zullen ze misschien minder ethisch zijn. Als ze merken dat mensen echt heel dom met veiligheid omgaan in het westen zien ze zichzelf misschien wel als Robin Hood. Volgens mij is het als Oekraiener niet zo makkelijk om naar het buitenland te gaan om te werken waardoor je kansen niet zo makkelijk zijn als voor ons hier.
A.d.h.v. dat soort zaken probeer ik me een beeld te vormen en vraag me af hoe veilig het is om te internetbankieren bijvoorbeeld. Of mijn pa vertellen dat hij zijn compu beter moet beveiligen.

[Reactie gewijzigd door exorbitex op 25 februari 2013 22:43]

Ik snap wel wat je bedoeld, maar het voert te ver om hier een filosofische discussie te starten. Feit blijft dat een "aanvaardbaar risico" door iedereen anders geïnterpreteerd wordt en ook daarin kun je voor jezelf afvragen hoe grijs dit gebied voor jou is. Leuk om eens over na te denken (en dan het liefst wat verder weg van je eigen "wereld").

Overigens spreek je jezelf ook een beetje tegen. Als we dan toch even in de techniek blijven. Indien je een gesloten product als bijv. een processor niet vertrouwd, zul je deze (wanneer je echt paranoïde bent) dus ook niet willen gebruiken. Toch zal het overgrote deel van de mensen die hier wantrouwig (terecht of onterecht laat ik in het midden) tegenover staan tóch besluiten ze te gebruiken. Ze accepteren daarmee de situatie, zien geen andere mogelijkheid (of beter alternatief) en schatten het in als een voor hen "aanvaardbaar risico".

Waarom zou technologie die gemaakt is door een andere natie altijd inherent gevaarlijk moeten zijn? Natuurlijk ben ik ook niet blind voor de feiten/geruchten, maar persoonlijk vind ik het wel erg zwart-wit gedachtengoed.

[Reactie gewijzigd door Primal op 25 februari 2013 23:24]

Door het concept dat de broncode openbaar is, is Linux dus veilig. Dan ga ik er vanuit dat door de vele mensen die ernaar hebben gekeken het veilig is. Daar durf ik wel op te vertrouwen.
Dat is alleen relevant als je zelf al je software compiled. Zodra je binaries van anderen gebruikt (=in de praktijk vrijwel alle gebruikers van open source software), moet je erop vertrouwen dat die andere partij ook daadwerkelijk die code heeft compiled die je in mag zien.

[Reactie gewijzigd door Dreamvoid op 26 februari 2013 09:17]

SELinux hanteert dus het 'Multi Level Security' concept, wat de mogelijkheid geeft om label based danwel een confidenitaliteitsmodel (BLP etc) danwel een integriteitsmodel (Biba etc) te kiezen. Als je er conceptueel naar kijkt, dan klinkt SELinux eigenlijk wel aardig. De realiteit is echter dat 'Mandatory' access control van het type MLS hardstikke leuk is als je een militaire organisatie bent of een bedrijf met grote militaire of overheids klanten die van je eisen dat je systeem MLS kan, bepaalde AEL levels haalt en dat soort zaken. Voor commerciele partijen en consumenten is MLS in het algemeen en SELinux in het bijzonder echter een enorme ramp. Over het algemeen zijn de security wensen en eisen in de commerciele en consumer setting veel meer in overeenstemming met veel meer discretionair security model, en als er dan 'mandatory' zaken nodig zijn, met een eenvoudig te beheren en evalueren systeem. Het is jammer dat dit soort klanten zo belangrijk zijn voor veel bedrijven, waardoor veel linux distro's helaas voor SELinux kiezen boven het voor de consument en commerciele gebruiker veel beter geschikte en vriendelijkere AppArmor. AppArmor is verder ook nog eens veel beter compatible met discretionaire systemen zoals bijvoorbeeld MinorFs. Helaas verkoopt consumer/enterprise-security alleen een stuk slechter dan government/military-security, en hey, enterprise klanten kunnen best een paar SELinux guru's betalen om om de beperkingen van SELinux als enterprise solution heen te werken, dus ook daar krijgen ze het wel verkocht :-(

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013