iPhoneを保護するためのベストプラクティス
ボイスメール保護に関する この質問 が携帯電話の保護に向けた回答を得たため、このトピックに特定の質問を追加する必要があると考えました。
あなたのAndroid電話 の保護についての質問はすでにあります
THCフェムトセル攻撃 を含む幅広い攻撃があるため、すべてのポインタを歓迎します。
あなたは自分が何を誰から保護しようとしているのかを定義しなければなりません。いくつかの資産があります:
- あなたの地理的位置
- 誰に電話するか、誰に電話するか
- 会話とSMSの内容
- あなたの電話代
次に、電話オペレーターが協力的な友人であるか、あまり能力のない中立的なサードパーティであるか、アクティブな攻撃者であるかによって、状況はかなり異なります。
電話代が一番簡単です。オペレーターが攻撃者である場合、あなたは運命にあります。理論的な対策は、裁判官を説得できる方法で使用法を記録する不正操作防止電話であろう。ほとんどの電話は最新の通話のログを保持していますが、そのようなことは知りません。オペレーターが攻撃者でない場合は、ハッキングされていないことをオペレーターに信頼する必要があります。また、yourの電話もハッキングされないようにする必要があります。スマートフォンは、それ自体が完全に複雑なコンピューターであり、1つまたは複数のネットワークリンクが常にアクティブになっているため(Bluetoothについて考えてみてください...)、外部ハッキングの影響を受けます。そのため、スマートフォン以外が推奨される場合があります。
匿名性の懸念(地理的位置、あなたが誰に電話をかけ、誰が電話をかけるか)は難しい問題です。一部の場所では、警察サービスが携帯電話を使用して、抗議者の兆候を追跡していると聞きました。偽の基地局が設置され、「私はここで最も強力な基地局です。近くの電話はすべてすぐに報告してください」とすべての電話は「私はここにいます!」と喜んで答えます。その状況が懸念される場合は、多数の短命な受容体とアカウント(もちろん偽の名前で取得)を「ローテーション」する必要があるため、これはコストがかかります。また、VPN内で一部のVoIPソフトウェアを使用しない限り、通話は受信されません(そのため、オペレーターはVPNに接続しているが、VPNの反対側にあるものは認識していない)。
衛星電話が関与する匿名性の懸念の有名な例 1996年に発生 は、やや抜本的な結果をもたらします。
会話内容については暗号化の問題です。 GSM電話では、「A5」と呼ばれるアルゴリズムが使用され、A5/0、A5/1、A5/2、およびA5/3のバリアントがいくつかあります。 A5/0は「暗号化はまったくありません」です。 A5/2は「弱い暗号化」であり、評判の悪い国への輸出を目的としています。 A5/1は64ビットキーを使用するストリーム暗号ですが、実際にはそれよりも弱く、保護は242.7(この数は、カウント方法や、既知のクリアテキストのサイズなどの操作条件によって異なる場合があります。詳細については この記事 を参照してください);それは快適さのためには低すぎるので、A5/1で保護されたデータの内容は、断固とした攻撃者によって学習されると想定されるべきです( A5/1のWikipediaページ は、レインボーテーブル)。 A5/3は [〜#〜] kasumi [〜#〜] とも呼ばれ、UMTSとGPRSの世界から来ています。これにはいくつかの弱点がありますが、今のところ致命的なものはありません。
いずれにせよ、A5暗号化は携帯電話から最も近い基地局までのみであるため、オペレーターが攻撃者である場合(たとえば、オペレーターが協力する法執行機関による合法的な盗聴を回避しようとしている場合)、A5/xは「x」が何であるかに関係なく、あなたを助けます。 thatの種類の攻撃に耐えるには、エンドツーエンドの暗号化が必要です。これにはプロトコルの変更が必要であり、したがってカスタム暗号化を使用したVoIPが必要です。既存の製品は Zfone で、(PGP名声の)Phil Zimmermannからのものです。
ここで最大のセキュリティの難問は、標準プロトコルではセキュリティを確保するのがかなり悪いということです。妥当なレベルの保護を取得するには、カスタムソフトウェアを搭載したスマートフォンが必要です。しかし、電話自体のセキュリティはalsoが最も重要であり、dumbphoneを使用する方がはるかに簡単です。
まず最初に、カレンダー、電子メール、アドレス帳、メモ、およびその他の多くの重要なデータを非常にルーズに配置する場合は、デバイス、それからあなたは「データが安全である」そして「データが便利にアクセス可能である」ことから大きな一歩を踏み出しています。
それは言った:
オンにします iOSの自動パスコードロック (設定された時間の後のPIN /パスコードによる画面ロック)。 [パスコードロック]サブメニューで、パスコードの試行に10回失敗した後、[データの消去]をオンにします。
Appleの無料のMobileMe サービスに登録します。無料の「電話を探す」サービスと、重要なのはリモートデバイスワイプ機能です。
IPhoneソフトウェアを常に最新の状態に保ちます。
そもそも、重要なデータを電話と同期しないことを検討してください。 fxリモートデスクトップスタイルサービスまたはWebアプリケーションを使用し、認証を必要とするリモートサービスに接続する「ダム端末」として電話を利用します。
お使いの携帯電話がハッキングされるのを防ぐ方法についての一般的な答えはありませんが、いくつかの良い答えと情報が Androidデバイス を保護するためのベストプラクティス)にあります他の電話でも使用できる場合があります。
考慮すべき事項:
- シンプルな電話を使用し、スマートフォンやFOTAの更新は不要
- お使いの携帯電話がGSM暗号をサポートおよび適用していて、平文転送にフォールバックしないかどうかを確認します。これは法執行機関(IMSIキャッチャー)でよく使用され、今日までに独自のIMSIキャッチャーを構築できます(前回のCCC議会を参照)。
- 最終的には、プロバイダーを信頼しないでください。たとえば、暗号電話などのエンドツーエンドの暗号化を使用します。
ドイツのシークレットサービスでさえ、電話の遮断や特殊な電話や複数の電話の使用を「陰謀的行動」と解釈することが知られていることに注意してください。他の人が一般的に使用しない場所で暗号を使用すると、目立ちます。これはTorのようなサービスにも当てはまります。
私は ネイキッドセキュリティの3つのヒントペーパー をこのトピック(消費者向けに設計されていますが)に書きました:TL; DRは次のとおりです。
- パスコードを設定する
- 脱獄しないでください
- ハイパーリンクをたどるのではないか疑う
うまくいかなかったものは:
- 自動的にワイヤレスネットワークに参加しない
- 安全でない無料のWi-Fiを回避する
- mobileMe/iCloud(または企業内のMDM)のリモートワイピングを設定する
次に、ビジネスセキュリティのニーズにより適したものを追加します。
- スマートフォンからアクセスする必要があるデータへのスマートフォンアクセスのみを許可する
- ビジネスデータにアクセスできるサードパーティアプリがデータ保護を使用することを要求し、保証する
- スマートフォンが社内またはホスティングサービスから受信したデータのエンドツーエンドの暗号化が必要
- 相互SSL認証を使用して、適切に構成されたiPhoneが実際のサーバーと通信していることを確認します
- 結局のところWi-Fiネットワークが信頼できない場合に備えて、「ファイナルマイル」の攻撃者から保護するために、スマートフォンを機密サービスに接続するためにVPNの使用を要求する
- アプリがファイルの引き出しを許可するかどうかを確認します。 DropBox/iCloud同期、およびこれを集中管理できるかどうか
- 会社のサーバーでホストされているデータへのアプリのアクセスがログに記録され、確認されるようにします