Le migliori pratiche per proteggere un iPhone

Devi definire cosa stai cercando di proteggere e contro chi. Esistono diverse risorse:

• La tua posizione geografica
• Chi chiami e chi ti chiama
• I contenuti delle tue conversazioni e SMS
• La tua bolletta del telefono

Quindi le cose sono molto diverse, a seconda che l'operatore telefonico sia un amico cooperativo, un terzo neutrale non troppo competente o un aggressore attivo.

La bolletta del telefono è la più semplice. Se l'operatore è un attaccante, allora sei condannato. La contromisura teorica sarebbe un telefono resistente alle manomissioni che registra l'utilizzo in un modo che potrebbe convincere un giudice; Non so nulla di simile, anche se la maggior parte dei telefoni tiene un registro delle chiamate più recenti. Se l'operatore non è un attaccante, devi fidarti dell'operatore per non essere hackerato, e devi anche evitare che il tuo telefono venga hackerato. Gli smartphone, essendo computer a tutti gli effetti complessi a pieno titolo, con uno o più collegamenti di rete attivi in qualsiasi momento (pensate al Bluetooth ...), sono suscettibili agli attacchi esterni. Quindi un non-smartphone può essere consigliabile.

I problemi di anonimato (posizione geografica, chi chiami e chi ti chiama) sono un problema difficile. Ho sentito che in alcuni luoghi i servizi di polizia utilizzano i telefoni cellulari per tenere traccia dei manifestanti nelle manifestazioni: una falsa stazione base è impostata e trasmette un grande messaggio "Sono la stazione di base più potente qui, tutti i telefoni nelle vicinanze devono segnala immediatamente ", e tutti i telefoni rispondono volentieri" Sono qui! ". Se questa situazione ti preoccupa, allora dovrai "ruotare" attraverso numerosi recettori e conti di breve durata (ottenuti con nomi falsi, ovviamente), quindi è costoso; e non riceverai chiamate, a meno che tu non usi qualche software VoIP all'interno di una VPN (quindi l'operatore vede che ti colleghi alla VPN, ma non quello che esce dall'altra parte di quella VPN).

Un famoso esempio di preoccupazione per l'anonimato, che coinvolge un telefono satellitare, si è verificato nel 1996 con conseguenze alquanto drastiche.

Per i contenuti della conversazione, questa è una questione di crittografia. Nei telefoni GSM viene utilizzato un algoritmo chiamato "A5", con diverse varianti: A5 / 0, A5 / 1, A5 / 2 e A5 / 3. A5 / 0 è "nessuna crittografia". A5 / 2 è "crittografia debole", destinata all'esportazione verso paesi di reputazione discutibile. A5 / 1 è un codice di flusso che usa una chiave a 64 bit ma in realtà è più debole di quello, con una protezione intorno a 2 ^42.7 (il numero può variare a seconda di come contate e alcune condizioni operative come la dimensione del testo in chiaro noto, vedere questo articolo per alcuni dettagli); questo è troppo basso per il comfort, quindi si deve presumere che il contenuto dei dati protetti con A5 / 1 possa essere appreso da determinati aggressori (il La pagina di Wikipedia su A5 / 1 cita anche alcuni tentativi di cracking basati su tabelle arcobaleno). A5 / 3 è anche conosciuto come KASUMI e viene dai mondi UMTS e GPRS; ha alcune debolezze ma niente di fatale finora.

In ogni caso, la crittografia A5 è solo dal telefono cellulare alla stazione base più vicina, quindi se l'operatore è un aggressore (ad esempio stai cercando di eludere le intercettazioni legittime da parte delle forze dell'ordine con cui gli operatori cooperano), quindi A5 / x non ti aiuterà, indipendentemente da cosa sia 'x'. Per sopravvivere a quel tipo di attacco, è necessaria la crittografia end-to-end, che a sua volta richiede un cambio di protocollo, quindi VoIP con crittografia personalizzata. Un prodotto esistente è Zfone , di Phil Zimmermann (di fama PGP).

Il più grande enigma di sicurezza qui è che i protocolli standard sono piuttosto negativi per garantire la sicurezza, è necessario uno smartphone con software personalizzato per ottenere un livello ragionevole di protezione; ma la sicurezza del telefono stesso è anche di fondamentale importanza ed è molto più facile da ottenere con un dumbphone .

Prima di tutto, rendi conto che se stai mettendo il tuo calendario, email, rubrica, note e molti altri dati importanti su un dispositivo molto facile da perdere, allora stai prendendo un a un passo da "i dati sono sicuri" e verso "i dati sono facilmente accessibili".

Detto questo:

• Attiva Blocco automatico del codice di accesso di iOS (blocco dello schermo con codice PIN / passcode dopo un determinato periodo di tempo). Nel sottomenu "Passcode Lock", attiva "Cancella dati" dopo 10 tentativi falliti di passcode.

• Registrati per servizio gratuito MobileMe di Apple . Fornisce un servizio gratuito "Trova il mio telefono" e, in particolare, una funzione di cancellazione dei dispositivi remota.

• Mantieni sempre aggiornato il software iPhone.

• Considera di non sincronizzare i dati importanti con il telefono, in primo luogo. Utilizza i servizi di stile desktop remoto fx o le applicazioni web e utilizza il telefono come un "terminale stupido" che si connette a un servizio remoto che richiede l'autenticazione.

Non ho una risposta generale su come impedire che il tuo telefono venga violato, ma ci sono alcune buone risposte e informazioni su Best practice per proteggere un dispositivo Android che potresti essere in grado di utilizzare anche per altri telefoni.

Alcune cose da considerare:

• Utilizza telefoni semplici, senza smartphone e senza aggiornamenti FOTA
• Verifica se il telefono supporta e applica la crittografia GSM e non ricade nel trasferimento in testo normale. Questo è spesso usato dalle forze dell'ordine (IMSI catcher) e puoi costruire i tuoi cacciatori IMSI da oggi (vedi l'ultimo congresso CCC).
• In definitiva, non fidarti del tuo provider: utilizza la crittografia end-to-end come in, ad es., cryptophone.

Si noti che anche il servizio segreto tedesco è noto per interpretare la chiusura di telefoni o l'utilizzo di telefoni speciali o di più telefoni come "comportamento cospirativo". Usando la crittografia in cui gli altri non ti fanno generalmente risaltare. Questo vale anche per servizi come Tor.

Ho scritto un tre consigli per Naked Security su questo argomento ( sebbene progettato per i consumatori): il TL; DR è:

• Imposta un codice di accesso
• Non eseguire il jailbreak
• Sente sospetto di seguire i collegamenti ipertestuali

Quelli che non hanno fatto il taglio sono:

• non si uniscono automaticamente alle reti wireless
• evitare la connessione wi-fi gratuita non protetta
• imposta MobileMe / iCloud (o il tuo MDM, in azienda) pulizia remota

Quindi, più appropriato per esigenze di sicurezza aziendale, possiamo aggiungere:

• consente solo l'accesso allo smartphone ai dati che devono essere accessibili tramite smartphone
• richiede e garantisce che le app di terze parti con accesso ai dati aziendali utilizzino la protezione dei dati
• richiede la crittografia end-to-end dei dati ricevuti dagli smartphone da servizi interni o ospitati
• utilizza l'autenticazione SSL reciproca per garantire che i tuoi iPhone ben configurati stiano parlando con i tuoi server reali
• richiede l'uso della VPN per connettere uno smartphone a servizi sensibili, per proteggersi dagli attaccanti sul "miglio finale", nel caso in cui la rete Wi-Fi non sia affidabile dopo tutto
• scopri se le app consentono di estrarre i file tramite ad es. DropBox / iCloud sync e se questo può essere controllato centralmente
• garantisce che l'accesso all'app dei dati ospitati sui server della società sia registrato e rivisto