Column: Wordt Tux de smartphone-verlosser?
Wie niet half dementerend een donkerblauw looprekje voortduwt of net uit het ei is gekropen, bezit ongetwijfeld een smartphone. De rechthoekige aai-glazen worden zowel bij intieme aangelegenheden als grote evenementen massaal uit de broekzak getrokken. Als verstokte eigenaar van twee klassieke Nokia's (post-koelkastmodel) voelde ik mij in de vaart der volkeren meegezogen en besloot dat het tijd was voor een slimmere telefoon. Daarnaast is het vanuit een security standpunt natuurlijk verstandig om te zien waar de komende jaren de "actie" zal plaatsvinden en dat is volgens de verkondigers van het mobiele malware-evangelie ongetwijfeld de smartphone.
Als security-bewuste consument is het eerst de uitdaging om een geschikte telefoon te vinden. De zoektocht begon bij het platform. Apple heeft met de iPhone de trend gezet, maar de digitale gevangenis van wijlen Steve Jobs voelt te beklemmend. Het is Apple dat de ervaring bepaalt en als consument ben ik overgeleverd aan wat wel en niet in de app-store wordt toegelaten. Het is allesbehalve een open platform, zowel qua vrijheid als beleving. In dat opzicht is een smartphone allesbehalve een pc, zoals vaak gezegd wordt. Wat Apple wel aardig doet is het uitbrengen van updates en zorgen dat die voor de meeste telefoons beschikbaar zijn. Een belangrijk criterium om een smartphone op te selecteren.
Dit is echter een ander verhaal met Google Android. Talloze verschillende toestellen en fabrikanten, die als het hen uitkomt, wat meestal niet het geval is, beveiligingsupdates uitbrengen. Het komt echter voor dat sommige modellen die in de winkel liggen al geen updates meer ontvangen. Voor alle app-verslaafden zijn die telefoons een absolute no-go. Het installeren van een app op een kwetsbare Android telefoon is hetzelfde als het openen van een .exe die je via de e-mail hebt ontvangen. Vroeger of later gaat het een keer mis. Vorig jaar is het meerdere keren gebeurd dat er apps verschenen die de lekken in Android smartphones misbruikten. Gebruikers dachten een onschuldige app te installeren, maar via de kwetsbaarheden op hun ongepatchte mobiel kon de app het toestel volledig overnemen, en dan is het bonanza voor de mobiele cybercrimineel.
Toch is Android het platform waar ook security en privacy-apps op verschijnen en waar de meeste gebruikers zich inmiddels op begeven. Het moest dus een Android worden, maar wel eentje die op updates kon rekenen en waar het liefst ook security en privacy-apps voor beschikbaar zijn. De keuze viel op de Goolge Nexus S. Betaalbaar, ondersteund door Google, dus updates zouden geen probleem moeten zijn, maar het allerbelangrijkste, security.
De bekende beveiligingsonder Moxie Marlinspike, die wel iets weg heeft van een blanke Bob Marley, ontwikkelde namelijk WhisperCore. Een veilige versie van het Android besturingssysteem. WhisperCore biedt volledige versleuteling van de smartphone en bevat daarnaast een firewall. Het enige nadeel is dat het systeem alleen op Google Nexus One en Nexus S modellen werkt.
De encryptie was voor mij de grootste lokker, net als mijn laptops is het logisch om een telefoon met persoonlijke gegevens te versleutelen. De encryptie werkt echter alleen als de telefoon is uitgeschakeld. Bij het opstarten van de mobiel moet een passphrase worden opgegeven. Dit houdt bemoeizuchtige douanebeambten, smartphonedieven of jaloerse ex-en op afstand. Het idee van een telefoon is nog altijd dat die aan staat, zodat anderen je kunnen bellen. De verborgen waarde van WhisperCore werd de firewall. In tegenstelling tot bijvoorbeeld Windows, waar firewalls traditioneel tegen inkomend verkeer beschermden, houdt de WhisperCore firewall uitgaand verkeer tegen. Mijn Nexus had de vervelende neiging om continu contact op te nemen met Google, via allerlei diensten die ik niet gebruikte en zelfs had uitgeschakeld.
Ook tijdens het internetten werden continu allerlei URLs en locaties aangeroepen waar ik niet om had gevraagd. Door de firewall moest ik bij een doorsnee website wel 20 keer iets toestaan of verbieden voordat de pagina geladen werd. Vervelend, maar het maakt duidelijk dat de smartphone werkelijk een privacyvergiet is. Nu is privacy toch al een ondergeschoven kindje. De Firefox-versie voor het platform is veel minder uitgebreid dan de desktopversie, zowel qua instellingen als plugins. Daarnaast blijkt WhisperCore door een bug niet met Firefox te werken, waardoor ik gedwongen ben om de standaard Android-browser te gebruiken, wat toch geen fijn gevoel is. Zeker nu Google heeft aangekondigd dat het gegevens van inlogde gebruikers gaat consolideren tot één profiel, en daar vallen Android-gebruikers ook onder, aangezien die bijna altijd zijn ingelogd..
Pinguïn
Tot mijn grote vreugde las ik dat Linux naar de smartphone komt. Tux en ik zijn op de desktop nooit goede vrienden geworden. Na twee kleine decennia Windows, heb ik de overstap naar de vriendelijke pinguïn nooit kunnen maken.
Toch wil ik Tux op de smartphone zeker een kans geven. Tux staat volgens experts en gebruikers voor openheid, maar ook security en privacy. Precies wat ik in een smartphone zoek. De enig beer op de weg is dat deze Tux-versie door Samsung ontwikkeld wordt. En zodra het bedrijfsleven zich met de smartphone bemoeit, komt het belang van de gebruiker niet op de eerste plaats.
En daardoor zit ik nu in een spagaat. WhisperSystems is door Twitter overgenomen en op de website niet meer te downloaden. Nu bestaat de kans dat het systeem weer terugkomt, voorlopig zit ik echter zonder updates. Een andere optie is bijvoorbeeld Cyanogenmod. Maar wie garandeert dat deze versie goed getest is en geen beveiligingslekken bevat?
Ik wil een mobiel besturingssysteem van organisaties zoals Ubuntu of Mozilla, of desnoods van Linus Torvals himself, waar integriteit en gebruikersbelangen voorop staan. Zeker nu waar de Googles van deze wereld de consument als een privacyspons zien die ze zover mogelijk kunnen, en zich ook laat, uitknijpen. Wat dat betreft is het in deze tijd nog lang niet zo gek om zonder smartphone, half dementerend een blauw looprekje aan te duwen.
Joran Polak - Hoofdredacteur Security.nl
Buiten dat zou het als eind gebruiker mogelijk moeten zijn om zelf te bepalen of je informatie deelt met een applicatie. Nu is het zo dat er melding gemaakt wordt dat wanneer je applicatie x installeerd dat je dan aan de applicatie bijv. toegang moet verlenen om te kunnen gebruiken. Het is opvallend om te zien welke toegang applicatie plegen nodig te hebben om te functioneren.
Het zou een mooie oplossing kunnen zijn om uit de greep van Google te geraken mocht de pinguin besluiten om in je broek / vest / jaszak te geraken...
Ubuntu wordt echt door een commerciele bedrijf uitgegeven. Mozilla dan weer niet, maar ook daar zit het bedrijfsleven erg sterk achter.
Wel ben ik het echter met je eens dat Android en iOS beiden de nodige problemen hebben (zoals keurig omschreven in het artikel). Jammer vind ik het wel dat je WP7 niet hebt meegenomen in je vergelijking. Je bent een kleine 3 decennia Windows gebruikt (ik denk naar redelijke tevredenheid, anders had je meer moeite gestoken in de overstap naar een ander OS). Ik hoor behoorlijk goede verhalen over WP7 en zit er aan te denken het mijn volgende telefoon te maken.
Alles wat je zou willen zit er op.
Een prettig, intuïtief toestel.
Er komt dus naast de distibutie Android een andere Ubuntu oid. O, was die er al niet? Nokia N900 met een fantastische Debian kernel, geforkt naar meamo, Laten we hopen dat hiermee niet weer een versplintering van de app market komt. De mods van de diverse X-Dev mensen zijn feitelijk mini forkjes op de originele Android, echter in de basis met dezelfde linux kernel, of een OC, overclock linux kernel. Ik betwijfel of die naast tweaken er extra security inbouwen.
Verder heeft Avast een aardige firewall die je zou kunnen gebruiken op de droid toestel, echter het grootse gevaar ben je zelf. Want wie installeert nu exotische app nummer "Blote vrouwen kijken"?
Zij kunnen toch overwegen om ook een versie van hun Linux distributie voor mobiele telefoons te maken?.
Volgens mij zal iedere expert je vertellen dat beveiliging vooral ook een kwestie is van configuratie, hardening van het operating system en ga zo maar door. Een slecht geconfigureerde linux zal misschien nog steeds niet erg kwetsbaar zijn voor generieke malware, vooral ten gevolge van het grote marktaandeel van windows, maar voor hackers is het net zo'n gatenkaas als windows, solaris of macosx.
Ik ben nogal verbaasd dat security.nl hier doodleuk linux (ongeacht distributie, configuratie en dergelijke) als "veilig" bestempeld.
Ik ken genoeg mensen die om verschillende redenen geen smartphone hebben. Batterijduur, betrouwbaarheid en een kleiner formaat komen goed uit, als je in de bouw werkt, bij defensie, of in ander beroep dat niet op kantoor wordt uitgeoefend.
Wat mij betreft mag het taalgebruik iets zakelijker en professioneler, YMMV.
De enige reden waarom ik er een heb is vanwege de gps (ga namelijk verhuizen).
De kaarten daarvan zijn lokaal geinstalleerd dus je heb geen verbinding nodig.
Er staan nog een paar apps op maar die hebben ook geen verbinding nodig.
Internetten doe ik wel op mijn laptop. Mocht ik die niet bij me hebben, kan altijd nog de telefoon gebruiken als ik dringend iets moet opzoeken.
Weet iemand of de symbian s60v5 nog een beetje veilig is?
De malwarefabriek komt naar de smartphone (als die er al niet is) en nou hoop ik dat deze symbian overslaat omdat deze (binnenkort) toch niet meer verkocht gaat worden.
onder welke steen heeft de auteur gezeten afgelopen jaren?
heb jaren lang een linux telefoon gehad die zijn tijd jaren vooruit was en al bijna 10 jaar geleden op de markt kwam met touchscreen, gps/navigatie, handschriftherkenning/ pop /imap client etc...
https://secure.wikimedia.org/wikipedia/en/wiki/Motorola_A780
Daar gaat altijd alles goed
http://www.security.nl/artikel/38446/1/Linux.com_gehackt.html
Niet om de fan-boy van het een of ander uit te hangen, maar voor android kom je met Cyanogenmod met PDroid en Droidwall een heel eind. Vergeet WhatsApp en ga aan de slag met Gibberbot, wel wat meer werk voor de doorsnee smartphone gebruiker. Maar we zijn hier per slot van rekening wat meer paranoïde mensen, toch? ;)
Kleine toelichting:
Cyanogenmod; gemodificeerd android besturingssysteem, meer opties dan standaard en met minder voorgeinstalleerde "rotzooi" apps.
Droidwall; een firewall voor je android.
PDroid; geeft jou de mogelijkheid om te bepalen welke toegang een app tot je telefoongegevens krijgt. Hier kan je dus ook bogus informatie doorgeven.
Gibberbot; een op XMPP gebaseerde chat client, maar dan met encryptie.Tevens deel je niet hele adresboek met de makers van WhatsApp.
Joran, veel knutsel uren met je nieuwe speeltje toegewenst!
Your cellphone is a government issued tracking device
(Old-Thinker News | Feb 1, 2012 - By Daniel Taylor)
http://www.oldthinkernews.com/?p=2511
Oh ja, en je kunt met je "(to)smart phone ook nog Feestboeken, gamen en oh ja bellen (voor de jongere generatie lezers en digibetenonder ons) :-P
Op http://wiki.merproject.org/wiki/Nemo al wat info en wekelijks verschijnt er een nieuwe build op http://repository.maemo.org/meego/Nemo/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
