Handhelds zijn veel te gemakkelijk te kraken

Bij Reuters lezen we dat beveiligingsexperts zich eergisteren hebben uitgelaten over handhelds. Steeds meer mensen gebruiken deze apparaten voor het bijhouden van telefoonnummers, creditcardgegevens en andere persoonlijke informatie. De experts wijzen er echter op dat er software bestaat die het iedere kwaadwillige persoon makkelijk maakt om deze gegevens te stelen. Slechts weinig mensen hebben beveiligingsmaatregelen genomen om te voorkomen dat alle gegevens in geval van een diefstal in verkeerde handen vallen. Zelfs in eigen handen is informatie niet veilig: draadloos kan er ook van alles gebeuren, aldus een ingewijde tijdens een speech op Defcon, de grootste conferentie over computerbeveiliging ter wereld. Het is dus zaak om zeer selectief te zijn met het plaatsen van gegevens op de mobiele computers:

"Don't put any secure information on your PocketPC or your Palm," Glancey warned after a speech on the subject at DefCon, the largest annual computer security conference in the world. "They don't have any security features built in," he said. While mobile computers are vulnerable, they are also powerful enough to be used to launch attacks on other users.

Paul Clip of Internet security consultant AtStake told attendees at one workshop session here how people could use Palm Pilots to test for vulnerabilities in wireless networks. Clip cited reports of criminals using hand-helds to steal anti-theft car passcodes that are transmitted by infrared radio waves over short distances.

Reacties (36)

Beaves 4 augustus 2003 21:14

draadloos kan er ook van alles gebeuren, aldus een ingewijde tijdens een s.....

Dat ligt er maar net aan hoe de eigenaar zich bewust van de gevaren is. Als je een GSM of een PDA met bluetooth hebt moet je gewoon Bluetooth alleen aanzetten wanneer je het nodig hebt, anders moet je het uitzetten. Dat scheelt én stroom én je kan er als het goed is niet in.

Hetzelfde met WiFi, dat zet je pas aan wanneer je het nodig hebt, het is helemaal niet nodig om continue WiFi aan te hebben, ook al zit je binnen een access punt. Je hebt de gegevens toch pas nodig wanneer je met de PDA werkt, dus voordat je bezig gaat even syncen is voldoende.

Als je dat soort dingen gewoon blijft doen en je hem niet verliest of laat stelen kan er weinig gebeuren, of er moet een leak in het OS zitten.

silentsnow @Beaves • 4 augustus 2003 21:21

moet je gewoon Bluetooth alleen aanzetten wanneer je het nodig hebt

Hetzelfde met WiFi, dat zet je pas aan wanneer je het nodig hebt

Een techniek zoals WiFi of Bluetooth is niet gemaakt om alleen aan te hebben als het in gebruik is. Een
vereiste van zo'n techniek is ook dat het veilig is, en dat is in dit geval nog maar de vraag.

Je kan niet van klanten verwachten dat ze om de haverklap verbinding aan en uit zetten, omdat dit veiliger is. Zoiets zal de klant ook helemaal niet doen.

Steeds meer mensen gebruiken deze apparaten voor het bijhouden van telefoonnummers, creditcardgegevens en andere persoonlijke informatie.

Mensen vergeten dat ook handhelds gewoon computers zijn. Wel een stuk kleiner, maar het verschil met een computer is kleiner dan men verwacht. De gevaren die je met een computer kan tegenkomen, kan je dus ook met een handheld verwachten.

"They don't have any security features built in," he said.

Een gewone computer kan je beveiligen door middel van een goede firewall en antivirus software. Dan heb je al een vrij goede beveiliging. Maar handhelds hebben zoiets niet, en de meeste gebruikers weten niet hoe je een handheld kan beveiligen, in tegenstelling tot desktop computers.

tweakerbee @silentsnow • 5 augustus 2003 00:55

Leuk, maar met een anti-virus pakket en een firewall ben je er nog lang niet. Je gevoelige data kan namelijk nog steeds door iemand met een USB-stickje oid meegenomen worden. Toegegeven, hij moet binnen kunnen lopen, maar bij je PDA kunnen ook niet alle wildvreemden.

Pantagruel 4 augustus 2003 21:56

Voor de gebruikers van een PalmOS PDA. SourceForge heeft een GNU project lopen voor DES encryptie.
Surf naar: http://sourceforge.net/projects/gnukeyring/

" Keyring lets you securely store digital secret keys on your Palm handheld computer. This information might include computer account passwords, credit card or banking numbers, GnuPG passphrases, or OPIE pads. (Previously "GNU Keyring for PalmOS".) "

Of gebruik AESlib (Rijndael block cipher)
http://www.copera.com/AESLib/

en op:
http://www.freewarepalm.com/utilities/utilities_security.shtml

staan freeware goodies voor de Palm

hvlint 4 augustus 2003 21:17

Gebruik al vele jaren een palm, maar zonder wifi. Wordt altijd om een wachtwoord gevraagd voordat je bij de info kan.
Lijkt me veilig genoeg? Of weet iemand hoe je er dan toch bij kan?

TaXaN @hvlint • 4 augustus 2003 22:19

Oude PalmOS versies sloegen het paswoord geobfusceerd op. De methode is ondertussen achterhaald door iemand (van AtStake trouwens) en dus binnen no time te kraken. Je obfuscated paswoord wordt ook meegestuurd bij het begin van een HotSync. Er is een applicatietje dat het begin van een HotSync simuleert, het obfuscated paswoord pakt en kraakt.
Vanaf PalmOS 4 slaan ze een MD5 hash van je paswoord op. Een gebruiker kiest echter vaak korte paswoorden zodat het makkelijk in te geven is mbv Graffiti. Een brute force attack is dus heel makkelijk. Uit eigen tests (programma 'mdcrack' op een Duron 800Mhz): paswoord van 3 karakters --> 30ms(!), 6 karakters --> 2u.
PalmOS heeft ook een leuke API call genaamd PwdRemove()...
Voel je je nog veilig?

PowerFlower @TaXaN • 5 augustus 2003 10:52

Ik voel me helemaal niet meer veilig nu nee

Maar: mijn ratio is altijd dat als er een password op zit, en hij wordt gejat, het makkelijkste wat je kunt doen een harde reset is. Dan is toch alles er uit. Waarom veel moeite doen voor een kleine kans op nuttige info? Ze willen dat ding gewoon zo snel mogelijk verpatsen.
Kortom een kort password is nog steeds een stuk beter dan géén, want meestal zal dat in de praktijk voldoende zijn. Nu nog je Palm goed verzekeren, en je koopt gewoon gelijk een nieuwe die je meteen hotsynct, et voila, alle afspraken zijn er weer. Dat lukt dan weer niet met een papieren agenda

Maar ik vind het nog steeds merkwaardig dat een Palm geen (snelle hardwarematige) native support heeft voor codering. Een prgrammaatje als PDASecure dat dat kan werkt vrij langzaam en onhandig. Dat lijkt me toch de reden dat vrijwel niemand dat soort tooltjes gebruikt. PDASecure staat overigens hier.

/edit: linkje

GORby @TaXaN • 5 augustus 2003 11:35

Het gebruik van de ingebouwde beveiliging is volgens mij inderdaad niet aan te raden voor gevoelige gegevens. Een gespecialiseerd programma voor het opslaan van dergelijke gegevens maakt normaal echter gebruik van fatsoenlijke (triple DES, 128 bit, blowfish, ...) encryptie voor je data.

Multipass (http://www.freewarepalm.com/database/multipass.shtml) is een voorbeeld van een dergelijke toepassing voor palm. Ik weet wel niet dadelijk welke encryptie daarvoor gebruikt wordt.

Je data zal hiermee niet 100% veilig zijn, maar het zal toch een tijdje duren voor de code gekraakt is, zeker als je een deftig paswoord gebruikt, want dat blijft natuurlijk de zwakke schakel.

kodak @hvlint • 4 augustus 2003 22:02

Theoretisch is alles te kraken. Het ligt er maar net aan hoeveel je er voor over hebt om aan de gegevens te komen. Als je de draadloze achterdeur als onbruikbaar instelt en je je pda goed bij je draagt is er bij los gebruik weinig kans dat er even snel door het publiek in (delen van) je gegevens kan worden gesnuffelt. Tenzij ze meelezen over je schouwder natuurlijk.
De meeste problemen ontstaan echter op het moment dat men de pda met andere prive appratuur laat communiceren. Dat is dus niet alleen als je er los mee rond loopt, maar wanneer je je pda synchroniseert met bv je pc. De kans op hacksoftware en virussen die op die manier binnendringen wordt steeds groter. Vaak helpt de bescherming die je nu gebruikt dan al niet meer. Vraag is alleen in hoeverre je er waarde aan wil hechten om die kant beter te beveiligen. Voorlopig is er weinig aan te doen en zelfs als je er al wat aan doet staat de achterdeur alsnog groots open doordat men veel gegevens ook op de synchronisatie pc hebt staan.

Verwijderd 4 augustus 2003 23:58

Ik gebruik al een paar jaar de tool STRIP (Secure Tool to Retrieve Important Passwords, http://www.zetetic.net/products.html) op mijn Palm V. Deze applicatie is erg handig in het gebruik en codeert de gegevens voordat ze in de Palm worden opgeslagen. Volgens mij een erg veilig alternatief voor het als 'note' opslaan van vertrouwelijke gegevens.

Verwijderd @Verwijderd • 5 augustus 2003 13:01

Ik neem aan dat dat een soortgelijk tooltje als YAPS (yet another password saver) of Keyring is?
Vraag me trouwens af hoe makkelijk die te kraken zijn.

Verwijderd 4 augustus 2003 21:08

Het is ook wel erg naief om credit card nummers in je PDA op te slaan, of op je computer, of waar dan ook. Die moet je gewoon in je portemonnee houden. en wachtwoorden in je hoofd.

kodak @Verwijderd • 4 augustus 2003 21:39

Naief of niet, veel mensen zien hun normale papieren agenda en hun pda als iets heel persoonlijks. Zo persoonlijk zelfs dat de normale agenda een van de best beschermde persoonlijke eigendommen is, iets wat men dicht bij zich draagt en de meest persoonlijke details in weet op te bergen. Sociaal gezien haal je het niet in je hoofd om iemands agenda te pakken om er even in te neuzen of te schrijven. Dan geeft men liever nog de portemonnee tijdelijk uit handen. De laatste jaren is het gebruik van de agenda verschoven naar de pda/handhelds. Nog steeds met het zelfde doel en gelijke sociale regels, alleen zijn de meeste gebruikers zich nooit echt bewust geworden dat een pda/handheld meer ingangen kent die je maar moeilijk sociaal kan controleren.
Hoe vaak de banken ook roepen "nooit je pincode opschrijven", het gebeurt vaak nog wel, maar meestal op de plaatsen die men als prive gebied beschouwd. Dat het in de pda terecht komt is dus niet vreemd.
Ik ben er dan ook geen voorstander van om alleen te blijven roepen dat opschrijven van dit soort zaken gevaarlijk is en men het niet zou moeten doen. Banken , beveiligingsexperts en pda producenten zouden er goed aan doen om die apparaten meer naar de prive sfeer in te richten. Dwz: standaard goede voorlichting over gevaren en gebruik en betere beveiligingssoftware waar de gebruikers het nut van inzien. Ik zie dit echter op korte termijn helaas niet gebeuren: het draagt niet bij tot betere verkoop cijfers omdat het publiek het niet intressant genoeg vind. Het lijkt wel alsof iedereen naief wil blijven voor het gemak.

faethon @Verwijderd • 4 augustus 2003 21:17

Maar als dan je portemonaie wordt gejat dan ben je ook mooi de pineut want dan heeft de dief direct je creditcard nummers! Bij een PDA moet je wel een dief hebben die nog een beetje verstand heeft van een PDA, anders vind hij/zij de creditcard nummers niet. En dan heb je wel meer tijd om je rekeningen te blokkeren...

On the other side: het stelen van een PDA levert een zekere buit, terwijl het stelen van een portemonaie nog maar afwachten is...

cyble @faethon • 4 augustus 2003 21:38

Je kunt met je pda niet afrekenen in bijv. winkel of restaurant, daar willen ze toch een hardcopy van je creditcard hebben, dus als je op reis bent neem je je creditcards zowieso al mee in je por·te·mon·nee

. Om ze dan ook nog een keer in je pda op te slaan voor de internet aankopen is beetje vreemd aangezien je dan net zo goed even naar je portemonnee kunt grijpen.

Telefoonnummers e.d. zal me weinig kunnen boeien als een dief die zou bemachtigen omdat dat hem waarschijnlijk ook niets kan schelen. Dus in de praktijk zal het er toch op uitdraaien dat een dief dat ding wist en via via op ebay gooit ofzo (de oom van een tante en die z'n italiaanse neef in syberie, we kennen het idee wel onderhand

).
Of er moet echt een plan achter schuilen bepaalde data van iemand afhandig te maken (bijv. bedrijfsgeheimen tbv chantage of verkoop aan concurrentie), maar voor de normale user met z'n agenda'tje en wat spelletjes zal dit weinig betekenen (of er moet iemand lopen azen op je level code van een of ander platform spelletje ofzo)

Verwijderd @cyble • 4 augustus 2003 23:45

Niet te vergeten dat als je portomonnaie gejat wordt, dat je meteen aangifte doet en je kaarten laat blokkeren. Als iemand je nummer jat uit je PDA en dan lekker gaat e-shoppen, merk je het pas op je afschrift. En niet iedereen checkt die dingen als het (vaak automatisch) afgeschreven bedrag niet te opvallend hoog is.

Verwijderd @faethon • 4 augustus 2003 21:49

Tja, maar het valt voor de meeste mensen meer op dat hun protemonaie gegapt wordt, dan hun PDA. En als je weet dat het gegapt is, kun je het blokken. als het via de PDA gebeurt, weet je het pas als je de rekening krijgt, en dat is het te laat.

In je protefeuile ist het beste, aangezien je daar de kaart ik heb zitten

Dus als die gegapt wordt, heeft de persoon alle nodige gegevens al. Echter in zo'n geval weet je dus dat die persoon in de zelfde stad rondloopt, met de PDA kan het iemand uit de andere kant van de wereld zijn.

Het beste is gewoon een ander w8woord te gebruiken voor je PDA, dan wat je voor de rest gebruikt, en verder blijven kijken naar eventuele beveiligingsupdates, die er al zijn (of na aanleiding van steeds meer van dit soort meldingen gemaakt word)

RobT @Verwijderd • 5 augustus 2003 14:57

Sturm, bijna goed.

Als jij aangeeft bepaalde aankopen niet gedaan te hebben, wordt het geld niet afgeschreven maar start de Kredietkaart-uitgever een onderzoek waar de aankopen naartoe zijn gegaan. Komen ze bij jou uit (dus heb je gelogen) dan kan dat op max 10 jaar gevangenisstraf uitkomen. Dus niet iets om voor de gein mee te frauderen.

Wel duidelijk dat een ander met jouw creditcards jou niet echt veel schade kan berokkenen als je de kaart(en) tijdig laat blokkeren (en je weet of je je eigen kaart in bezit hebt of niet), en met jouw creditcard nummers al helemaal niet.
Je moet wel elk afschrift goed controleren, je uitgaven bijhouden en kijken of het klopt.

Sturm @Verwijderd • 5 augustus 2003 00:43

In principe is het zelfs dan nog niet te laat; bij credit cards is het volgens mij zo dat als je *na* betalingen aangeeft dat jij die betalingen niet willens en wetens hebt gepleegd, dat je dan het geld terugkrijgt. De meeste creditcard maatschappijen zijn tegen dit soort dingen verzekerd.

Ik geloof alleen wel dat je redelijk aannemelijk moet kunnen maken dat je de aankopen niet hebt gedaan, dus aantonen dat ze niet in je reguliere uitgave-patroon vallen en/of dat ze niet overeen komen met de gemiddelde manier waarop jij je creditcard gebruikt (het valt iig wel op als er ineens een transactie voor duizenden euro's is gedaan terwijl je normaal gesproken je creditcard gebruikt voor bijvoorbeeld kleine online betalingen bij Amazon, Bol o.i.d.)

it0 @Verwijderd • 4 augustus 2003 21:36

Ik zet ook wavchtwoorden en zo op me palm, maar dat doe ik wel met ene programma die alles encrypt en eerst een wachtwoord vraagt. Dus het is een probleem die bij de gebruiker ligt en niet bij het apparaat. Moet je de vendor het kwalijk maken dat deze functionaliteit er niet in zit?

Als je zo'n appraat gebruikt dan kan je toch ook wel de gevolgen overzien als het in verkeerde handen terecht komt ?

Franckey 4 augustus 2003 21:22

Moet je tegenwoordig ook al een firewall draaien op je PDA.....

kodak @Franckey • 4 augustus 2003 22:43

Dit vind ik een hele mooie uitspraak die precies aangeeft hoe men in het algemeen tegen de zaak aankijkt:
Als we het normaal hadden gevonden om onze prive gegevens zo heftig te beschermen hadden we nooit dit soort grappen gemaakt omdat we er de noodzaak van in zouden zien om ook een pda als computer met communcatiemogelijkheden naar derden te zien met even grote gevaren of zelfs nog groter om je prive gegevens of zelfs je prive leven kwijt te raken.
De gemakken zien we liever dan de bijkomende ongemakken.
Kijk niet vreemd op als we zodirect 'zelfs' op de mobiel een goede firewall moeten hebben.

mae-t.net @kodak • 5 augustus 2003 16:26

[quote] Dit vind ik een hele mooie uitspraak die precies aangeeft hoe men in het algemeen tegen de zaak aankijkt:
Als we het normaal hadden gevonden om onze prive gegevens zo heftig te beschermen hadden we nooit dit soort grappen gemaakt omdat we er de noodzaak van in zouden zien {/quote]

Ik heb van de Dr. Aalders (opvolger van de bekende prof. Herschberg) geleerd dat elk gegeven precies zo goed beschermd moet worden als nodig is. Staan er in je Palm alleen wat afspraken en telefoonnummers, dan is de kans groot dat je om de informatie zelf te beveiligen niet echt een password hoeft te gebruiken. Naar mate de gegevens belangrijker worden kan je aan passwords en/of encryptie gaan denken.

Amdk6II @Franckey • 4 augustus 2003 21:53

Of gewoon snel je wifi uitzetten als er een hacker op je pdatje zit, kan ie ook niet meer weg

Verwijderd 4 augustus 2003 21:18

Och, m'n PDA accepteert zelfs m'n eigen vingerafdruk pas als ik 't 'm heel lief vraag.

Geen absoluut betrouwbare beveiliging natuurlijk, maar voor een PDA ruim voldoende. Wil je de data dan ook nog beveiligen (voor CC-gegevens, etc. wel aan te raden), is er een hoop encryptie software verkrijgbaar (Googlen op "pocketpc des encryption" levert een dikke 1000 hits op).

Clip cited reports of criminals using hand-helds to steal anti-theft car passcodes that are transmitted by infrared radio waves over short distances.

Da's geen security flaw in PDA's, maar slim gebruik maken van PDA's om security flaws in andere toestellen te omzeilen.

memphis @Verwijderd • 4 augustus 2003 23:36

Och, m'n PDA accepteert zelfs m'n eigen vingerafdruk pas als ik 't 'm heel lief vraag.

Hmmm... dan zou een gemiddelde dief dus ook je hand moeten stelen

Wees voorzichtig met messen !

tweakerbee 5 augustus 2003 01:01

Iedereen maakt zich zo druk over het feit dat deze dingen electronisch vrijwel onbeveiligd opgeslagen worden, maar 'op papier' zijn ze ook niet encrypted.

Oftewel, het risico van een gestolen agenda en een gestolen PDA staat nog gelijk aan elkaar. Het is er dus niet gevaarlijker op geworden, maar als mensen de boel gaan encrypten kan het wel veiliger worden.

Verwijderd @tweakerbee • 5 augustus 2003 01:37

Het verschil tussen een PDA en een papieren agenda is dat deze laatste vooralsnog niet met een netwerk- en/of internetaansluiting geleverd worden.
Het risico is dus wel degelijk potentieel groter dan bij notities op papier. Daarvoor is immers fysieke toegang vereist. Staat ook gewoon in het artikel trouwens: "...draadloos kan er ook van alles gebeuren".

Verwijderd 4 augustus 2003 23:04

Ga d'r maar eens op zitten. Dan gaat zo'n schermpje al redelijk snel kraken hoor.

Maar een beetje slimmerd weet toch wel hoe je dat soort bestanden in je PDA kunt beveiligen toch? Anders moet je het er gewoon niet op zetten lijkt me.

PowerFlower @Verwijderd • 4 augustus 2003 23:34

Dat valt best tegen. Als mensen er al aan denken om bijv. hun Palm met een password te beveiligen, dan is dat heel makkelijk te kraken (zie hierboven Taxan). Er zijn wel wat progjes die de hele Palm coderen, en pas na een password alle info decoderen, maar vrijwel niemand gebruikt die.
Kortom het lijkt nogal een open deur - like, duh, er zit geen beveiliging op - maar het is opvallend dat bijna niemand zich daar zorgen om maakt.

SnowDude @Verwijderd • 5 augustus 2003 10:41

Een beetje slimmerd wel ja, maar de gemiddelde palm / pocket pc gebruiker is geen techneut maar manager of iets dergelijks.
En en de gemiddelde manager snapt weer helemaal niets van security.
Sterker nog vaak vinden dat soort gebruikers alle beveiligingen alleen maar lastig en overbodig (moet ik WEER een wachtwoord invullen).

MrRobot

4 augustus 2003 22:36

[flauw]
convert sd: /fs:NTFS

Enable EFS:

Locate and right-click the folder that you want to encrypt, and then click Properties.
On the General tab, click Advanced.
Under Compress or Encrypt attributes, select the Encrypt contents to secure data check box, and then click OK.
Click OK.
In the Confirm Attribute Changes dialog box that appears, use one of the following steps:
If you want to encrypt only the folder, click Apply changes to this folder only, and then click OK.
If you want to encrypt the existing folder contents along with the folder, click Apply changes to this folder, subfolders and files, and then click OK.
[/flauw]

Tadango @MrRobot • 4 augustus 2003 22:57

Pocket PC kan alleen overweg met FAT 12/16/32 dus NTFS is helaas niet mogelijk...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (36)

Sorteer op:

Weergave: