Technische Diskussion zu KNOX - Sammelthread

[flosch1980]

@prius 3; weil es manche Firmen gibt die aufgrund ihrer bisherigen genutzten Programme daran gebunden sind.

Beispiel Citrix, die haben allerlei Programme für die öffentliche Verwaltung und wenn die jetzt auch mobil auf diese Programme zugreifen will, dann sagt Citrix, jawohl könnt ihr gerne machen aber nur wenn ihr ein smartphone mit Knox nutzt, ansonsten können wir das aufgrund unserer Sicherheizsrichtlinien nicht gestatten.

So oder so ähnlich läuft es ab.

 

[frank_m]

Hättest du die Möglichkeit den Netzverkehr mal mitzuschneiden?

Zuhause fehlen mir dafür so richtig die Mittel. Um bei meiner Fritzbox alle Daten mitzuschneiden, müsste ein PC die ganze Zeit mitlaufen, das ist unpraktikabel.

Ich habs bei unserem Sysadmin in der Firma angetriggert. Er hatte zwar Zweifel, da er nicht einfach so den Datentransfer eines Mitarbeiters überwachen darf und Sorge hatte, damit möglicherweise arbeitsrechtliche Probleme zu bekommen. Ich konnte ihn dann aber überzeugen, da ja zum einen ich selber Interesse an den Datenübertragungen meines Gerätes habe und ich zum anderen bei der Auswertung der Logs selber dabei bin. Das ist dann wohl nicht mit der heimlichen Überwachung eines Mitarbeiters gleichzusetzen, die nicht erlaubt ist.

Ich denke, wir werden das ganze mit einem praktisch sauberen S4 testen, da wir sonst Gefahr laufen, dass die Datensitzungen vieler Nutzerapps das Ergebnis unübersichtlich machen. Nur eine frische Firmware drauf, Knox aktivieren, und dann mal im Knox Container einige Apps installieren und ein paar Mailkonten einrichten, auf beiden Seiten des Knox Containers. Danach mal einige Tage schauen, was passiert.

"MDM" machen wir allerdings nur lokal über Exchange, also dort werden die entsprechenden Policies für die mobilen Endgeräte verwaltet. Die werden ja vom Samsung Active Sync Client relativ konsequent auch umgesetzt. Eine Knox Integration ist das natürlich nicht.


@Prius 3: Du sprichst da ein Thema an, über das ich mir schon selber Gedanken gemacht habe. Die Endgeräte von Nutzern anzuzapfen ist kontraproduktiv, es sei denn, man könnte gezielt einzelne Geräte identifizieren, um Informationen abzusaugen. Andernfalls wäre die Informationsflut viel zu groß. Die Gefahr für Entdeckung wäre relativ hoch, da die als relevant zu übertragende Datenmenge recht viel ist im Vergleich der insgesamt anfallenden Datenmengen des Gerätes (Stichwort mobiles Datenvolumen). Dazu viele dezentrale Kommunikationseinheiten (Router, Firewalls, Proxys, ...) auf dem Weg zwischen dem Überwacher und dem Endgerät, die allesamt die Gefahr bergen, dass irgendein cleverer Admin seine Augen aufmacht. Und das ganze Vorgehen wäre ineffizient, da der Aufwand ungleich größer ist, viele Geräte zu kompromittieren, als einige wenige.

Cleverer ist es, sich in die Infrastruktur, z.B. in eine Cloud, einzuhacken. Dort kann man zentral die Daten vieler Nutzer abgreifen, dort kann man viel besser Informationen auf spezifische Inhalte filtern. Die Gefahr der Entdeckung ist nicht so groß, weil die schlussendlich interessante und gefilterte Datenmenge relativ klein ist im Vergleich zur insgesamt auftretenden Datenmenge eines solchen Servers oder Routers.
Wenn man mal die Snowden Enthüllungen liest: Nichts anderes hat die NSA bislang gemacht. Da steht nichts von Windows 8, Firefox oder Outlook. Netzbetreiber, Cloud-Anbieter und Serviceprovider sind das Ziel der Attacken.

Die Frage ist: Was bedeutet das nun für Knox?
Cloud Dienste nutze ich auf dem Android Telefon mit oder ohne Knox, z.B. Google Konten, Dropbox oder andere Dinge. Deren Sicherheitsgrad wird sich nicht verändern, egal ob ich auf dem Endgerät Knox einsetze, oder nicht (ein Google Konto kann ich im Knox Container übrigens gar nicht einrichten).
Bleiben die Cloud Dienste von Knox an sich. Eine MDM API, die möglicherweise nur über eine Anbieter Cloud angesprochen werden kann. Da müsste man analysieren, was genau das eigene Endgerät an Informationen in eben dieser Cloud speichert, denn die Daten dort sind potentiell am meisten gefährdet. Es ist unauffällig, wenn in eine verknüpfte Cloud Daten gesynct werden, aber was eben dort damit passiert, sieht man nicht mehr. Das Übertragen von Policies aus dem MDM aufs Gerät ist ja relativ unspektakulär, aber der Rückweg von Daten ins MDM System ist interessant. Exchange bietet sowas ja praktisch gar nicht, aber andere MDM Systeme vielleicht schon.

 

[mrx]

Wahrscheinlich wird bei dem Testgerät nichts entdecken lassen. Bzw. selbst wenn nichts entdeckt wird: Es ist wahrscheinlich doch so, dass man nicht dauerüberwacht wird weil zu aufwändig und unpraktikabel. Aber es bleibt dann immer noch die Möglichkeit, dass per Beschluss Samsung gezwungen werden kann bei bestimmten Zielen gewählt die "Fernsteuerung" einzuschalten und dann Daten zu ziehen. Das ist wesentlich unauffälliger und zielgerichteter.

 

[ollborg]

Ich denke auch, Endgeräte anzuzapfen macht nur Sinn, wenn diese als Wanze genutzt werden oder geziehlt nach Daten gesucht wird. Das Problem ist, dass Knox Daten selbst auch verwaltet und das Handy technisch per Richtlinienupdate in eine Wanze verwandeln kann.

Bisherige Enthüllungen beziehen sich tatsächlich fast ausschließlich auf Infrastruktur. Das Endgerät wäre da, auch wenn es Unmengen an Daten erzeugt, eine neue Qualität.

Mit dem Erfassen der Metadaten (Verbindungsdaten) hat man die Infrastruktur ja schon im Griff.

Aber es wäre sichtbar, wenn Knox regelmäßig versuchen würde Richtlinien Updates von Samsung Servern oder woanders her zu laden. Das reicht ja schon. Wenn nicht, umso besser.

Deswegen finde ich es echt klasse, wenn Frank diese Möglichkeit hat.

 

[Hilfe!]

[...] warum man sich um Knox solche Gedanken macht, aber scheinbar überhaupt keine Probleme hat Daten in einer ominösen Datenwoke zu lagern bei dem ja auch keiner genau weiß wer da noch heimlich Zugriff hat

So etwas mache ich ja auch nicht.
Entweder ne eigene VPN erreichbare Wolke oder : Nix mit Cloud!

Nichtmal fuer Sonnenuntergangsphotos, die ich nicht irgendwo schon gepostet habe.
Wobei Photos, eventuell noch mit Geotags, aber zumindest im Original (vom Phone) ja mit Dat/Zeit versehen, ne sehr gute Tracking Spur hinterlassen.

Der ursprüngliche Beitrag von 07:02 Uhr wurde um 07:13 Uhr ergänzt:

Nichts anderes hat die NSA bislang gemacht. Da steht nichts von Windows 8, Firefox oder Outlook.

Das da so garnichts von drin steht, in den veroeffentlichten Unterlagen, ist aber nun auch kein Freifahrschein.
Zum einen waeren das Sicherheitsrelevante Informationen, die Terroristen warnen wuerde, diese Progs zu nutzen, und zum anderen haben viele Medien ja schon zugegeben, das sie aus Gruenden der Sicherheit nicht alles Veroeffentlicht haben duerfen koennen.

Ich denke mir so meinen Teil dazu.
NSA: Das Kind liegt schon im Brunnen, aber wenn wir euch 'abschalten' wirds noch schlimmer. Ok, veroeffentlich weiter, aber nichts , das wirklich jeden betrifft. Dann habt ihr eure Story, und wir bekommen zielgerichteteter die Infos ueber die Wege, die 'nicht von Snowden als komprimitiert' benannt sind.

Ich weiss, ich bin sehr negativ.
Aber, wie schon erwaehnt, garnichts ueber ein Produkt zu hoeren, das wie Win8 und Outlook , z.B. direkt aus dem Einflussbereich der NSA kommt und weltweit so heftig verbreitet ist, das macht mich nicht wirklich 'sicher'!

 

[ollborg]

Ich werde mal versuchen Frank ein wenig zuzuarbeiten. Ich versuche mal herauszubekommen welche Ports Knox einsetzt um Richtlinien Updates zu bekommen.

Wenn die verschiedenen MDM Anbieter natürlich unterschiedliche Ports nutzen, wird das nix. Wenn diese der Geheimhaltung unterliegen auch nicht. Falls jemand dazu Infos hat, sind diese herzlich willkommen.

 

[bergerstrasse]

Was bilden sich manche Leute ein so über uns zu urteilen

http://www.giga.de/unternehmen/sams...wenn-custom-roms-zum-hardwareschaden-fuehren/

 

[profil]

Was mich an dieser gesamten Problematik aufregt, ist die Tatsache das hier über die Köpfe der Käufer, dieser betroffenen Smartphone, einfach hinweg ohne jegliche Information, geschweige denn Genehmigung, eine für mich derart gravierende Änderung an meinem gekauften Gerät vorgenommen wurde, dass ich es so nicht mehr nutzen mag und eine Änderung, sprich Rücksetzung in den vorherigen Zustand, nicht mehr möglich scheint.

Wäre mein S4 nicht zurückgenommen worden, hätte ich, wie angekündigt, geklagt und versucht, da eine solche Klage wohl meine finanziellen Möglichkeiten übersteigt, andere durch öffentliche Aufrufe, sich an den Kosten, in Form von Spenden z.B. auf ein Treuhandkonto o.ä., zu beteiligen.

Sollte es einer versuchen, meine finanzielle Unterstützung hat er

 

[ollborg]

@bergerstrasse

Das sind ein oder zwei Leute mit verschiedenen Nicks, denen muss hier schon mal jemand richtig auf die Füße getreten haben und jetzt versuchen sie mit naiven Provokationen Dampf abzulassen. Perlt an mir ab, mit Anfeindungen kann ich leben. Das Thema provoziert Anfeindungen. Ich mache deswegen keinen Wind, ist halt deren Meinung.

Das kommt wie gesagt vor, es gibt jede Menge Leute die hier schon dauerhaft rausgeflogen und auf Rache aus sind. Auf jeden Fall lesen sie AH anscheinend sehr aufmerksam.

Wenn sie könnten würden sie mir und anderen Moderatoren hier anscheinend gerne den Mund verbieten aber zum Glück ist es hier nicht wie in der DDR früher.

Experte zu sein, habe ich auch nie behauptet. Ich lese einfach das was an offiziellen Dokumenten vefügbar ist. Experten sind hier Samsung, die einfach zu Consumer Knox Stellung nehmen könnten, dann gebe es all diesen Aufwand hier gar nicht. Wenn sie das nicht tun, muss sich eben jeder selbst zusammensuchen was er findet und sich daraus einen Reim machen. Dieser Reim fällt dann eben sehr unterschiedlich aus.

@all

Update:

Ports für das Update der Security Policies konnte ich nicht finden. Allerdings habe ich jetzt keine Fragen mehr. Samsung erklärt tatsächlich selbst, wie es steht um Security Policy Updates.
Gefunden habe ich die Erklärung in diesem Forum:

Samsung S4 security policy update - Page 3 - The EE Community

Dort habe ich folgenden Screenshot des Security Policy Update Mechanismus gefunden, den Anfangs sehr viele User hatten und wohl durch einen Bug oder Probleme in der Implementierung, durch Samsung ausgelöst wurde.



Hier wird eindeutig erklärt, was es mit den Updates auf sich hat und wie Samsung sich das vorstellt. Daher habe ich keine weiteren Fragen mehr.
Hier steht unmissverständlich, dass Samsung die SE Android Policy Updates bereitstellt. Laut Text kommen diese Updates regelmäßig und sollen die Sicherheit erhöhen.
Es wird darauf hingewiesen, dass alte Policies automatisch überschrieben und durch neue ersetzt werden.

Von meiner Seite also keine weiteren Fragen mehr, Consumer Knox/Datenschutz ist damit jetzt verständlich.

Hierzu nochmal wiederholt aus dem DISA Dokument ein paar Posts weiter vorn:


The Samsung MDM API includes over 500 policies and 1100 interfaces that are
designed to be called by any MDM agent. Using these policies and interfaces, the MDM
solution vendor can implement an MDM solution that can meet or exceed the SRG
requirements.


@Frank Die aufwändige Geschichte (Mitschnitt des Netzwerkverkehrs ist) ist jetzt auch nicht mehr so wichtig, es sei denn du möchtest noch die Ports ermitteln.

 

[mike_galaxy_s]

Wenn man den KNOX-Counter nicht resetten kann, dann könnte man ja zumindest den Bootloader umprogrammieren, dass immer 0x0 angezeigt wird, egal, wie der Status in Wirklichkeit ist.

 

[thepolobeast]

Interessanter Ansatz - ob das so ohne weiteres geht?

Ich für meinen Teil bleibe bei meinem alten Bootloader und auf der MGA, so lange es erst mal geht und ich ohne Updates leben kann

 

[Nightly]

..., dann könnte man ja zumindest den Bootloader umprogrammieren, dass immer 0x0 angezeigt wird, egal, wie der Status in Wirklichkeit ist.

...leider nicht möglich ...

 

[mike_galaxy_s]

Wieso?

 

[thepolobeast]

Ist der Bootloader nicht signiert und closed source, oder denk ich da falsch?

 

[mike_galaxy_s]

Man kann ihn ja disassemblern.
Ich könnte mir vorstellen, dass die Devs es schaffen so eine Signatur zu fälschen oder den BL irgendwie anders auf's S4 zu bekommen.

 

[Scum]

Nun ja sollte es so sein folgen sie den schlechten bsp. das HTC mit der ONE X Familie eingeschlagen hatte! Der Bootloader soweit mir bekannt ist bis heute nicht S-Off ...

 

[sventehf]

Also hier geht es aber nicht nur um den Counter!
Wir haben auch noch andere sorgen!
Desweiteren darf man nicht einfach so Signaturen fälschen und dann veröffentlichen.
Weil das wäre in meinen Augen wieder Illegal!

 

[raoul_duke]

Wenn man den KNOX-Counter nicht resetten kann, dann könnte man ja zumindest den Bootloader umprogrammieren, dass immer 0x0 angezeigt wird, egal, wie der Status in Wirklichkeit ist.

Und wozu?
Einziger Sinn den ich darin sehe wäre jemandem beim Verkauf seines geknoxten Samsung übers Ohr zu hauen.

 

[mike_galaxy_s]

Um Garantie zu erlangen. Wenn ihr schon so seit, dann müsste Triangle Away auch illegal sein.

 

[Nightly]

Dank Knox/Secure Boot ...würde ein Signature Hack an ein Wunder grenzen.
...nach dem Triangle Away Verbot wird übrigens auch telefonieren zur illegalen Handlung erklärt /Ironie off