Posted tagged ‘Sicherheit’

Android goes cloud

9. September 2012

Einer der Vorteile der neuen vernetzten Medienwelt ist die Verfügbarkeit und Synchronisierung der eigenen Daten auf verschiedenen Geräten. Das bedeutet praktisch, dass ich von jedem Ort, wo ich mich gerade aufhalte, Dateien, Notizen, Bilder, .. abrufen kann, die ich an einem anderen Ort mit einem anderen Gerät eingeben bzw. hochgeladen habe. Mir persönlich ist der Vorteil erst so richtig durch den Google Kalender bewußt geworden: ein Terminkalender im Netz, den ich von überall her abrufen und auf den neuesten Stand bringen kann.

Doch die Möglichkeiten gehen weit über bloße Synchronisation hinaus. Ich kann heutzutage meine ganze Fotosammlung ins Netz stellen, kann Medien und Texte dort bereitstellen, auf die ich zu jederzeit Zugriff haben will, kann meine persönliche Projekte online auf dem neuesten Stand halten. Ich kann flexibel entscheiden, auf welche Daten nur ich Zugriff habe, welche ich eventuell mit Freunden oder Kollegen teile, und was ich im Web oder in sozialen Medien veröffentlichen will. Ich kann auch Software direkt aus dem Netz ohne Installation anwenden und kann damit meine Daten von jedem Ort der Welt aus bearbeiten und pflegen. Das alles läuft unter dem Stichwort „cloud“ (Englisch für Wolke). Möglich wurde die Cloud durch die sogenannte Virtualisierung.  Dabei laufen mehrere oder sogar viele virtuelle Computer (die genauso bedient werden wie ein echter und fast genausoviel können) auf ein und der selben Hardware. Das kann ich im kleinen sogar zu Hause auf meinem eigenen Windows- oder Linux-Computer ausprobieren. Um es im großen Stil für hundertausende von Kunden zu machen, brauchte es allerdings eine neue Generation von

  • Servern (Computer, die in Rechenzentren stehen), sogenannten Blades,
  • Software (z.B. von VMware)
  • und Speichermedien.

Diese sind inzwischen bei fast allen großen Internetanbietern installiert und in Betrieb genommen. Wo man früher für jeden einzelnen neuen Kunden einen großen, schweren und stromfressenden Computer hinstellen mußte, genügt nun ein Click um einen virtuellen Platz und Service in der Cloud zu erzeugen. Und weil alle Anbieter gleich große Kapazitäten aufgebaut haben und kräftig konkurrieren, purzeln nun die Preise, so dass das ganze auch für Privatleute erschwinglich wird oder sogar kostenlos ist.

Soweit die Theorie, aber wie sieht es in der Praxis aus? Welche von diesen Diensten kann ich tatsächlich auf meinen Android-Phone nutzen? Dabei bevorzuge ich natürlich kostenlose Dienste, zumindest solange bis ich mich für einen Anbieter entschieden habe und einen echten Mehrwert für einen kostenpflichtigen Clouddienst sehe. Die Frage der Sicherheit und des Datenschutzes stelle ich mir natürlich auch, doch dazu schreibe ich nochmal gesondert was. Jetzt will ich erstmal ausprobieren, was überhaupt geht, inwieweit das mehr als nur eine Spielerei ist und auch einen praktischen Nutzen hat.

Der Übersicht halber schreibe ich mal für jeden Dienst und Anbieter einen eigenen kleinen Artikel. Wenn ich dann mit einigen durch bin, kann ich ja nochmal einen Vergleich erstellen.

Advertisements

Diebstahlschutz und Backup

22. Juni 2011

Neben der Gefahr durch böswillig programmierte Apps gibt es noch eine weitere denkbare Bedrohung für aktive Smartphonenutzer: Was, wenn ich das Handy verliere oder es gestohlen wird? Dann bekommt womöglich der (unehrliche) Finder oder Dieb Zugriff auf die persönlichen Daten incl. Kontakte, Fotos, Telefonnummern und gespeicherte Passwörter. Dieser nicht so weit hergeholten Gefährdung wollen sich eine ganze Reihe von Apps und Diensten annehmen.

Von vielen empfohlen und auf den ersten Blick überzeugend wirkt das Konzept von Lookout Mobile Security. Neben der Funktion neu installierte Apps und Nachrichten zu scannen, haben die Macher hier noch diverse Funktionen für Backup/Restore und Schutz bei Verlust oder Diebstahl eingebaut:

  • Backup von Telefondaten, Fotos und Kontakten in einer Datenbank im Internet. Jederzeit Möglichkeit diese wieder herzustellen oder auch über die Webseite auszulesen
  • Lokalisieren von verlorenen gegangenen Handys mit Hilfe von Mobilfunkdaten und GPS. Das funktioniert erstaunlich gut bis auf ca. 50 m aber natürlich nur, wenn das Handy eingeschaltet ist.
  • ein lautstarker Alarm  kann über die Webseite ausgelöst werden. Zusammen mit der Lokalisierung sollte das auf jeden Fall genügen ein noch im öffentlichen Raum (Kneipen, Parks, Straßen) rumliegendes Handy wiederzufinden.
  • Sperren des Handys und Möglichkeit alle privaten Daten endgültig ferngesteuert zu löschen.

Soweit ich dies getestet habe, funktioniert es alles ganz gut und wie versprochen. Die zuletzt erwähnten Sperr- und Löschfunktionen allerdings sind nach dem 14 tägigen Testzeitraum der Premium-Version vorbehalten. Und die kostet stolze $29.99  pro Jahr oder $2.99 pro Monat. Das finde dann doch etwas happig und kucke erstmal weiter, was es sonst so noch gibt.

Das Top-Konkurrenzprodukt scheint Theft-Aware zu sein. Es kostet in der Vollversion einmalig 9,99 €. Klingt nicht nur gut, sondern besser. Es hat offenbar ähnliche Funktionen, aber noch einiges zusätzlich:

  • komplett unsichtbar (für Diebe und Finder), bzw. kann unter einem frei wählbaren Namen getarnt werden,
  • kann auch über SMS aktiviert werden,
  • übermittelt bei SIM Karten Wechsel automatisch die neue Nummer.

Die Bewertungen der meisten Nutzer sind positiv und auf einem Internetforum gibt es einen ausführlichen, ebenfalls positiven Test.

Aber jetzt denk ich doch noch mal nach, wie das im Ernstfall abläuft. Und dazu finde ich in der Diskussion zu obigem Test folgende bedenkenswerte Zeilen:

Eine Sperre ist das denkbar Bloedeste, es bringt den Finder erst recht auf die Idee im Netz zu suchen was nach akku raus und wieder rein so moeglich ist. und findet sicherlich Anleitungen fuer zu booten und eben auch zu flashen.
..
Es muss def einiges sehr gut laufen sein Tel.auf die Art wiederzubekommen. Das beste daran wenn ueberhaupt ist die uebermittlung der Nummer bei Simwechsel mehr nicht.

Spielt doch mal den Ernstfall im Kopf durch, Handy weg, schnell Ersatz suchen damit sms schreiben geht, dann zur angegebenen rückrufnummer gehen oder anrufen er solle die sms an deine email schicken weil du grade nicht in der nähe bist und das genutzte Handy leider kein smartphone ist das dir die Kordinaten auf Map anzeigen könnte.

Dann an einen Rechner gehen (einen suchen) email nachschauen ob GPS und all das übertragen wurde , dann dahin fahren auf 70 Meter genau und laut rufen wer hat mein Handy.
Naja also das mit der Nummerübermittlung macht einfach am meisten Sinn, Nummer des diebes anrufen und nett bitten er solle es dir doch wiedergeben.

Sinn macht das Programm nur wenn das Handy in einer dunkelen Ecke liegt, weil verloren und es sonst auch wirklich keiner findet und mitnimmt.

Die letztere Funktion habe ich schon mit der kostenlosen Variante von Lookout. Für ein Löschen des Handys kann ich sorgen, indem ich eine Sperre bei SIM Wechsel einrichte. Dies wird einen Dieb oder unerhrlichen Finder dazu zwingen das Handy komplett inklusive Firmware und Daten zu löschen, damit es für ihn wieder einen (Wiederverkaufs-)Wert bekommt. Gut, man sollte halt keine allzu privaten Fotos auf der SD-Karte haben.

Ob ich ein Programm wie Theft-Aware brauche, hängt also letztlich davon ab, ob ich im Schadensfall daran glaube, dass die Polizei die Sache ernst nimmt. Und genug Sachverstand besitzt, um mit Hilfe der Telefonnummer einen kleinen Dieb zu schnappen und mir mein Handy wiederzubeschaffen. Oder, ob ich das Risiko eingehen will, mich ohne Einschalten der Polizei mit dem Dieb zu treffen, um mein Handy (vielleicht) so schneller wieder zu kriegen. Das kann auch ins Auge gehen und teurer werden als der Verlust des Handys! Ich überleg mir das nochmal, denke aber, dass 9,99 € grundsätzlich ein fairer Preis ist. Ich denke, ich werde es kaufen, aber ohne Illusionen. Absolute Sicherheit gibt es nicht, weder auf dem Handy noch in der Gesellschaft, und schon gar nicht ohne einen Preis und ohne Risiko.

Virengefahr auf dem Handy?

9. Juni 2011

Ein Android-Handy ist wie ein kleiner Computer. Und Computer werden leicht Opfer von Viren und anderen Schadprogrammen. Nur mit dem Unterschied, dass mein kleiner Computer auch noch konzentriert wichtige und persönliche Daten wie Freunde, Telefonnummern, vielleicht auch Passwörter und Bankdaten enthält. Es ist daher sinnvoll, dass ich mir von Anfang an Gedanken über Sicherheit mache und Vorkehrungen treffe.

Wie groß ist die Gefahr nun wirklich? Android ist anders als Windows ein UNIX/Linux-System mit genau definierten Zugriffsrechten. Das bedeutet, dass ein Virus nicht so leichtes Spiel hat sich selbständig zu verbreiten. Aber Gefahren gibt es trotzdem vor allem durch sogenannte Trojaner (Programme, die sich zwar nicht selber vermehren aber ein Ausspionieren und Fernsteuerung ermöglichen).

Prinzipiell stellt sich erstmal die Frage: Wie kommt die böswillig programmierte Software denn auf mein Handy? Hierfür gibt es prinzipiell folgende Möglichkeiten:

  • Ein Angriff über das Internet, wenn das Handy gerade verbunden ist. Bei einem Computer kann dies z.B. über offene Ports erfolgen. Bei einem Handy ist dies aber so gut wie ausgeschlossen, da das Handy nur über den Provider oder über ein Wireless LAN mit zwischengeschalteter Firewall/Router angeschlossen ist, also nicht direkt am Internet hängt.
  • Ein Angriff über Bluetooth oder lokale Wireless Netzwerke. Hier ist bereits über ein paar Schwachstellen und ausnutzbare Tricks berichtet worden. Schützen kann man ich mich, indem ich Bluetooth immer abschalte, wenn ich es nicht gerade benutze, und in öffentlichen WLAN Netzen generell vorsichtig bin. Hier sollte ich z.B. Passwörter grundsätzlich nur über gesichterte Verbindungen (https://) eingeben.
  • Ein Angriff über eine böswillig programmierte oder gehackte Webseite. Diese Infizierungsart – sozusagem im Vorbeisurfen – ist bei Windows-Computern inzwischen die größte Gefahr. Einigermaßen schützen kann ich mich unter Windows durch Antivirenwächter und durch Browser-Schutzfilter wie z.B. NoSscript. Auf Handys, speziell Android Handys hat allerdings der Browser deutlich weniger Rechte als unter Windows. Zumindest bisher habe ich noch von keinem derartigen Fall gehört. Aber Vorsicht, das kann durchaus noch kommen!
  • Ein Angriff über eine böswillig programmierte App, die ich selber herunterlade und installiere. Dabei wird mir durch die Beschreibung der App eine nützliche oder lustige Funktion vorgetäuscht, während das Programm im Hintergrund noch ganz andere Dinge macht.

Man kann zur Zeit davon ausgehen, dass nur die letztgenannte Infizierungsart reale Bedeutung hat. Diese allerdings hat es in sich. Es gibt schon eine lange Liste von solchen böswilligen Versuchen und offenbar bereits 10000e von Opfern. Aber wie kann ich denn sichergehen, dass eine App nicht böswillig programmiert ist? Oder soll ich gleich ganz auf das Herunterladen von Apps verzichten und damit auch auf viele Möglichkeiten, die mir mein Smartphone bietet? Immerhin gibt es ein paar Dinge, die ich tun kann:

  • Apps nur aus vertrauenswürdigen Quellen herunterladen! Eine grundsätzlich vertrauenswürdige Quelle ist zunächst mal Googles Android Market (Auch hier gab es schon Fälle von böswilligen Apps aber zumindest werden die irgendwann bekannt und dann wieder entfernt). Einigermaßen sicher downloaden kann man auch von Webseiten der Handy-Hersteller selber, also Samsung, HTC, … sowie von namhaften Softwareherstellern und Providern. Alles andere ist zumindest mal fragwürdig. Warum stellt der Programmierer seine App nicht in den allgemeinen Market ein, wenn sie gut programmiert ist und nur das tut was sie soll?
  • Nur Apps, die bereits eine Weile auf dem Markt sind, installieren. Über solche Apps existieren zumeist Erfahrungsberichte, die man im Market nachlesen kann. Sind viele Kommentare vorhanden, kann man davon ausgehen, dass auch technisch versierte Nutzer dabei sind, die eine illegitime Funktion merken würden.

Welche Berechtigungen verlangt eine App bei der Installation?

  • Beachten, welche Zugriffsrechte eine Applikation bei der Installation verlangt. Android besitzt ein ausgeklügeltes Zugriffsystem, dass jeder App nur die Funktionen erlaubt, die sie für ihre Aufgabe braucht. Entscheiden was gebraucht wird, tut aber der Programmierer. Der Anwender kann nur zustimmen oder ablehnen, was dazu führt, dass die App gar nicht installiert wird. Hier prüfe ich zumindest immer, ob die Zugriffsrechte, die gefordert werden, plausibel sind. Wenn z.B. ein Spiel Zugriff auf mein Telefonbuch verlangt und gar rauswählen können will, ist wohl etwas faul. Hingegen ist es einzusehen, dass eine Navigationssoftware Zugriff auf GPS braucht.
  • Eine Antivirensoftware installieren, die zumindest bekannte Schädlinge erkennt und spätestens beim Installieren davor warnt.

Ich entscheide mich nach einer kurzen Recherche für das kostenlose Tool Anti-Virus Free von AVG. Dies läuft nun ständig im Hintergrund, datet sich regelmäßig ab und scannt neuinstallierte Apps. AVG hat generell einen guten Ruf und das Tool scheint sauber, ohne Leistungseinbußen und Störungen seinen Dienst zu verrichten. Immerhin gibt es mir ein bißchen mehr Sicherheitsgefühl. Es schützt zwar nur gegen bereits bekannte Böslinge aber gegen neue Gefahren hilft sowieso nur Aufmerksamkeit und sich technisch auf dem Laufenden halten. Ich nehme mir vor, dabei nicht nachlässig zu werden.

AVGs Anti-Virus free bietet die wichtigsten Optionen