Fernzugriff “Back to my Mac” überführt Einbrecher

Montag, 19 Mai 2008 21:31 - Geschrieben von René Lindhorst

Verbrecherjagd mal anders:

Einer jungen Frau aus New York ist es mithilfe der Fernzugriffsfeatures “Back to my Mac” gelungen, den Dieb ihres Macbooks ausfindig zu machen und der Polizei den entscheidenden Hinweis für eine Festnahme zu liefern.

[Fernzugriff "Back to my Mac" überführt Einbrecher - pressetext.austria]

Nur gut, dass die bestohlene in einem Apple-Store arbeitet und sich so gut mit den neuen Features von Mac OS X auskennt. Das klingt ja schon ein wenig nach Schleichwerbung.

Ich frage mich nur, warum ihr MacBook nicht besser gesichert war (z.B. mit einem Passwort und FileVault). Sollte man diese Features nicht auch kennen? Aber gut, dann hätte man den Dieb nicht mittels iSight aufspüren können.

Ähnliche Beiträge:

Kategorien
AppleInternet
2 Kommentare

WPA – Authentifizierung

Sonntag, 4 Mai 2008 21:54 - Geschrieben von René Lindhorst

WLAN-IconWPA definiert wie der IEEE-802.11i [Ins04a, 14ff] zwei verschiedene Modi zur Authentisierung der Benutzer:

  1. WPA-Personal, welches für den Einsatz im Privat- bzw. SoHo-Bereich gedacht ist und einen Pre-Shared-Key verwendet.
  2. WPA-Enterprise, dass für den Einsatz in Unternehmen spezifiziert wurde und 802.1X für die Authentifizierung nutzt, wofür zusätzlich zum Access-Point ein Authentisierungsserver benötigt wird.

WPA-Personal

WPA-Personal ist, wie in [ED06, 341] beschrieben, identisch zu der im 802.11i-Standard spezifizierten Pre-Shared-Key-Authentisierung. Eine auf allen Stationen manuell eingegebene Passphrase, mit einer Länge von acht bis 63 Zeichen, wird zur Generierung des Pre-Shared-Key (PSK) verwendet (vgl. [Ins04a, 165f]). Dieser ermöglicht die Identitätsprüfung der beteiligten WLAN-Stationen und den dynamischen Schlüsselaustausch zwischen ihnen. Dabei wird der PSK jedoch nicht direkt verwendet, sondern lediglich zur Ableitung eines geheimen Sitzungsschlüssels eingesetzt. Da dieses Verfahren nicht den Einsatz eines zusätzlichen Authentisierungsservers erfordert, ist es besonders für kleinere Wireless-LANs geeignet.

WPA-Enterprise

WPA-Enterprise greift für die Authentisierung auf die im IEEE-Standard 802.1X [Ins04b] spezifizierten Verfahren zurück. Um nicht auf allen Access-Points die Informationen über die Nutzer vorhalten zu müssen, kommt ein zusätzlicher Authentisierungsserver zum Einsatz. Dabei handelt es sich meist um einen RADIUS-Server, der die Benutzerdaten aus den verschiedensten Datenquellen verwenden kann.


Authentifizierung nach 802.1X

Bei der 802.1X-Authentifizierung erfolgt, wie in der obigen Abbildung veranschaulicht wird, die Kommunikation zwischen drei verschiedenen Instanzen:

  • Supplicant – Der Client, der den Authentifizierungsvorgang einleitet, wird als Supplicant bezeichnet. Nach IEEE-802.11i [Ins04a, 68] baut er eine Verbindung zum Authenticator auf und erbittet den Zugang zum Netzwerk. Die Kommunikation erfolgt dabei über das EAPOL-Protokoll (Extensible Authentication Protocol over LAN).
  • Authenticator – Innerhalb eines Wireless-LANs ist der Access-Point der Authenticator und bildet den Zugangspunkt zum Netzwerk. Er leitet die Authentifizierungsanfrage des Clients an den Authentisierungsserver weiter. Dazu wird EAP (Extensible Authentication Protocol) [Net04] verwendet. Erst nach erfolgreicher Authentifizierung erhält der Supplicant Zugang zum Netzwerk.
  • Authentication-Server - Der Authentisierungsserver prüft die Anfrage des Supplicant und teilt das Ergebnis dem Authenticator mit.

Das für die Authentifizierung verwendete EAP nutzt ein Challenge-Response-Verfahren zum Austausch der Authentifizierungsdaten zwischen Client und Authentisierungsserver. EAP unterstützt verschiedene Authentifizierungsmechanismen, wobei die Sicherheit von der verwendeten Methode abhängt. Wie bereits im Beitrag WEP – Schwachstellen festgestellt wurde, ist eine gegenseitige Authentifizierung im Wireless-LAN besonders wichtig, da nur so Man-in-the-Middle-Angriffe verhindert werden können. Da bspw. die Methode EAP-MD5 dies nicht ermöglicht, ist sie nicht für eine sichere Authentifizierung geeignet. Wie Jörg Rech jedoch in [Rec06, 430] darstellt, gelten EAP-TTLS, PEAP und EAP-FAST als sehr sichere EAP-Methoden und eignen sich für die Authentifizierung im WLAN. Die verwendete Methode hängt allerdings davon ab, welche von den Clients im WLAN unterstützt wird.

Literaturverzeichnis:

[ED06]
Evren Eren und Kai-Oliver Detken: Mobile Security. Risiken mobiler Kommunikation und Lösungen zur mobilen Sicherheit*. 2006
[Ins04a]
Institute of Electrical and Electronical Engineers: IEEE Std 802.11i. 2004
[Ins04b]
Institute of Electrical and Electronical Engineers: IEEE Std 802.11X. 2004
[Net04]
Network Working Group: Extensible Authentication Protocol (EAP). 2004
[Rec06]
Jörg Rech: Wireless LANs. 802.11-WLAN-Technologie und praktische Umsetzung im Detail*. 2006

(Quelle: Lindhorst, René: Sicherheit von drahtlosen Netzwerken, Diplomarbeit, November 2007)

* Affiliate-Link: Wer über diesen Link bei Amazon bestellt, der unterstützt lindhorst.cc mit einem kleinen Prozentsatz des weiterhin unveränderten Kaufpreises.

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
keine Kommentare