Microsoft: iPhone niet immuun voor hackers
Ook de iPhone is niet immuun voor hackers, wat inhoudt dat bedrijven anders over beveiliging moeten nadenken, zo stelt Microsoft in een uitgebreide blogposting. Aanleiding is de recent ontdekte zero day-aanval op een mensenrechtenactivist uit de Verenigde Arabische Emiraten.
Via de aanval hadden de aanvallers stilletjes spyware op zijn toestel kunnen installeren. De mensenrechtenactivist vond de sms die de aanval inluidde verdacht en stuurde het bericht door naar het Canadese Citizen Lab, dat vervolgens de aanval ontdekte en analyseerde. "De afgelopen twee jaar hoor ik vaak van directeuren dat ze een rotsvast vertrouwen in het iOS-platform hebben", zegt Microsofts Brad Anderson. Vaak wordt het gecontroleerde ecosysteem van Apple als voordeel genoemd ten opzichte van Android.
Volgens Anderson proberen alle mobiele ontwikkelaars een zo'n veilig mogelijk platform te ontwikkelen. Het is echter ook een feit dat deze platformen continu doelwit van aanvallen zijn. Aanvallen die commerciële partijen ontwikkelen en als product aanbieden, zoals in het geval van de mensenrechtenactivist. Daarbij zijn mobiele apparaten zoals smartphones inmiddels een net zo aantrekkelijk doelwit voor aanvallers als computers en misschien zelfs wel meer, gaat Anderson verder. Veel hooggeplaatste personen in een organisatie beschikken vaak over meerdere mobiele toestellen.
Als een aanvaller erin slaagt om een smartphone te hacken heeft hij toegang tot bijna elke minuut van wat die persoon op een dag doet. Vaak gaat het om e-mailen, zakelijke telefoongesprekken en het lezen van bestanden. Mobiele apparaten krijgen dan ook steeds meer de aandacht van aanvallers. Volgens Anderson moeten organisaties er daarom altijd vanuit gaan dat ze zijn gehackt. Daarnaast moeten updates zo snel als mogelijk worden geïnstalleerd, is een meerlaagse beveiliging nodig en moet er holistisch over security worden nagedacht.
Triest dat een bedrijf zich zo aan de identiteit en producten van een ander bedrijf moet klampen om zelf in het nieuws te kunnen komen en aandacht voor het eigen tochtige hachhie te krijgen.
Het bewijs dat in ieder geval is geleverd door de dag van deze zero-brad is dat apple producten en dus ook de iphone niet immuun zijn voor open deuren clickbait, goedkope persstrategieën, valse suggesties, fudtt en in de kolommen ongetwijfeld ook merktrolling van de vaste merktrollen.
Ik durf met zekerheid aan te nemen dat niemand van de personen die die meneer zegt aan te halen beweert (apple) producten te gebruiken waarvan men denkt dat die voor de volle 100% veilig zijn.
Dat is onzin en uit vals eigenbelang uit de context gerukt.
Slechte eigenreclame die het het best spoedig in de favoriete eigen holistische plek mag opbergen.
Assume you are hacked - In dat geval kun je niet meer uitgaan van de integriteit van de systemen en je data. En dan? Sluit je de deuren van je bedrijf? Nee, natuurlijk niet. Het is alleen een aanmoediging om één of ander product te kopen (van Microsoft) om breaches te kunnen detecteren, en ohja, het advies om two-factor aan te zetten (alsof dat altijd en overal kan).
Build defense in depth - Koop een MDM en dwing diverse security settings af. Dat geeft nog steeds geen garantie dat een 0day exploit dan niet alsnog bij die data kan komen die op je telefoon staat.
Stay current and updated - Ja, over het algemeen een nuttig advies natuurlijk, maar voor een 0day heeft dat dus geen enkele zin.
Think holistically - Any attacker is looking for the weak spots. Sorry hoor, maar als je een tegenstander hebt die tonnen zo niet miljoenen kan investeren om een 0day te ontwikkelen of te kopen, dan ben je gewoon kansloos, holistische aanpak of niet.
Al met al kun je bar weinig met dit advies. Als een 0day aanval op je smartphone een serieus onderdeel is van je threatmodel, dan moet je toch met wat meer onconventionele oplossingen komen, zoals:
- gebruik nimmer een smartphone voor gevoelige zaken
- gebruik een smartphone maar nooit direct met eigen sim via wireless carriers (maar alleen via een mi-fi hotspot)
- vervang met regelmaat alles in die communicatie keten, met verschillende telco's/devices/etc.
Triest dat een bedrijf zich zo aan de identiteit en producten van een ander bedrijf moet klampen om zelf in het nieuws te kunnen komen en aandacht voor het eigen tochtige hachhie te krijgen.
Het bewijs dat in ieder geval is geleverd door de dag van deze zero-brad is dat apple producten en dus ook de iphone niet immuun zijn voor open deuren clickbait, goedkope persstrategieën, valse suggesties, fudtt en in de kolommen ongetwijfeld ook merktrolling van de vaste merktrollen.
Ik durf met zekerheid aan te nemen dat niemand van de personen die die meneer zegt aan te halen beweert (apple) producten te gebruiken waarvan men denkt dat die voor de volle 100% veilig zijn.
Dat is onzin en uit vals eigenbelang uit de context gerukt.
Slechte eigenreclame die het het best spoedig in de favoriete eigen holistische plek mag opbergen.
Zo te horen zouden bij u de haren nog stijf achterover kunnen slaan; een groot dee van de eifoon en os2 gebruikers geeft naast gebruiksgemak dit valse gevoel van veiligheid veelal als voornaamste reden...
Mijn advies voor een maximale beveiliging van iOS devices(indien je voldoende budget hebt):
1. MDM
Dit is de basis. Dwing een sterk beleid af voor b.v. wachtwoorden, updates, cloud apps, vergrendeling, jailbreak, etc.
2. iCloud 2FA
Dwing je eindgebruikers om 2FA voor iCloud te gebruiken.
3. Mobile Threat Prevention
Dit is echt een must om kwetsbaarheden en bedreigingen op iOS en WiFi netwerken te detecteren en te verhelpen.
Ik heb goede ervaringen met Checkpoint Mobile Threat Prevention en Lookout Mobile Threat Prevention (Enterprise)
4. OpenDNS Umbrella for iOS
Umbrella for iOS zet ten eerste een VPN op naar OpenDNS, hierdoor loop je geen risico op WiFi netwerken. Daarnaast worden DNS verzoeken naar Malware, Phishing, Ads, Webspam, Botnets en APT domeinen geblokkeerd.
Los van MDM is Enterprise Mobile Threat Prevention toch echt het belangrijkste. Zowel Checkpoint als Lookout hebben een centrale management console en kunnen weer geintegreerd worden met diverse MDM oplossingen.
Ps. OpenDNS Umbrella kun je ook centraal beheren.
2FA is niet alleen om iCloud Password Brute Force aanvallen(of raden) tegen te gaan. Welke VPN dienst je op iOS ook gebruikt, verbindingem van en naar Apple gaan nooit over de VPN, dit is "by design". Indien je Apple credentials als nog op een WiFi verbinding worden onderschept, heb je gelukkig nog een 2FA code nodig om in te kunnen loggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
