iPhone schrapt ondersteuning Exchange 2007

Gepubliceerd: Donderdag 17 september 2009

Apple heeft gereageerd op de problemen die zijn ontstaan rond de compatibiliteit tussen iPhone-update 3.1 en Microsoft Exchange 2007. De iPhone gedraagt zich nu ‘eerlijker’, stelt het bedrijf.

Toon volledig artikel

Blieb op Donderdag 17 September 2009 11:31

Dat de iPhone software een tijdlang valse informatie heeft verstrekt is een flink probleem.
Bedrijven die informatiebeveiliging van groot belang achten zullen hierdoor zeer gergerd zijn omdat informatie van deze bedrijven onbeveiligd op miljoenen mobiele telefoons terecht is gekomen en bij verlies of diefstal van een iPhone op straat kan komen te liggen ondanks dat de beveiligingsinstellingen die bedoeld zijn om dat te voorkomen wel op exchange zijn aangezet.

Dit herstellen naar de eerdere situatie is voor Apple geen optie nu deze 'cat out of the bag' is. Dan zouden bedrijven die deze manier van beveiliging gebruiken hun medewerkers moeten gaan verbieden om een iPhone te gebruiken.

4 / 6

Anonymous Coward op Donderdag 17 September 2009 20:55

Daar bestaat veiligheid software voor dat is er al lang, encryptie is al een tijd mogelijk.
Zo moeilijk is het toch niet om even wat verder te kijken?

1 / 3

SevenPRX op Donderdag 17 September 2009 11:36

Kwalijke zaak hoe Apple met security omgaat/omging. De reden voor encryptie (en andere policies) mag duidelijk zijn. Je wil niet dat je corporate network & data daarop, openstaat via een smartphone. Hiervoor heb je in Exchange policies voor o.a. encryptie, maar ook "lock device after x minutes". Vooral die is belangrijk.

Vraag me af of Apple die policy wel toepast, of passen ze daar ook trucs voor toe? Anyway, een goede reden om iPhones dus niet op je corporate network toe te laten. Gelukkig wordt dit in de meer grote en serieuze bedrijven al niet toegelaten. Niemand wil een unmanaged device als de iPhone met 1001 vage apps, toegang laten hebben tot je netwerk.

Tijd om het vinkje bij "Allow non-provisionable devices" weg te halen, en dan eens kijken hoeveel mensen er gaan bellen...

4 / 6

anonymous_118315 op Donderdag 17 September 2009 15:01

Kwalijke zaak hoe Apple met security omgaat/omging.Als organisaties daarvan niet op de hoogte waren, dan ben ik het met je eens. Maar heel eerlijk gezegd heb ik daar een hard hoofd in. Ik denk dat het één van de redenen is waarom je vaker las dat de iPhone ongeschikt werd geacht voor zakelijke toepassing.

3 / 3

SevenPRX op Donderdag 17 September 2009 15:41

Ik denk dat organisaties daar niet van op de hoogte waren, anders was dit toch wel eerder naar buiten gekomen? Tenminste, dat neem ik aan...

2 / 4

anonymous_118315 op Donderdag 17 September 2009 16:01

Een klein rondje zoeken lijkt jou gelijk te geven. In dat geval ben ik het met je eens. Geen erg goede beurt voor Apple.

Al lees ik her en der wel dat het beheerders opvalt dat ze de iPhone moeilijk konden blokken. Dat had een dead giveaway moeten zijn. Dus dat het nu pas boven komt is ergens wel apart.

Maar nogmaals. Niet slim van Apple. En dan bedoel ik niet alleen de 'bugfix' maar ook de slechte communicatie er omheen. Dit had vooraf bekend moeten zijn.

0 / 2

Jzf op Donderdag 17 September 2009 11:46

Dit bericht zegt meer over de Exchange server dan over de iPhone!

-12 / 20

SevenPRX op Donderdag 17 September 2009 11:57

Niet echt. Exchange heeft 0,0 controle over een device, tenzij het Device het toe laat. Je kan Exchange instellen zodat dit soort devices dus GEEN contact kunnen maken met de Exchange server. Je kan het dus makkelijk safe maken.

Dan werken alleen WinMo devices uitgegeven door een bedrijf samen met Exchange server, ivm policies die worden ingesteld op het device.

Bedrijven die security dus enigzins serieus nemen, laten dus alleen WinMo devices toe, 'geinstalleerd' door het bedrijf. Dan heb je policies die zaken encrypten, alleen over SSL werken, om de x minuten locken, etc. Dan is het veilig, maar ben je beperkt in je keuze. Als je Micky Mouse telefoons wilt toelaten tot je netwerk, waar je dus geen controle op hebt, loopt je risico.

7 / 9

swhnld op Donderdag 17 September 2009 13:17

je hoeft niet Windows Mobile telefoons te gebruiken, via Blackberry devices kun je ook je security regelen terwijl je een Exchange server gebruikt (of Lotus Domino, of etc.)

0 / 4

SevenPRX op Donderdag 17 September 2009 13:43

Punt is hier: MS zal WinMo zo in elkaar zetten dat de security policies dus daadwerkelijk toegepast worden. Kennelijk kan je daar niet van op aan bij 3rd party telefoons, zoals de iPhone - maar BB kan dus hetzelfde werken: zeggen dat een sec policy toegepast is, maar die dus niet echt toepassen.

0 / 6

ikstemtegen op Donderdag 17 September 2009 19:19

Ah, We bouwen een feature in Excange die pas in WM6 ondersteund wordt en vervolgens kunnen alle vendors die niet versleutelen geen gebruik meer maken van Exchange op die manier.

Heeft niemand in de gaten dat het gewoon slim is van M$ en niet perse secure? Feit is nl dat een fabrikant vrij makkelijk om de security heen kan.

-4 / 6

kwark op Donderdag 17 September 2009 20:18

Als WM6 nieuw zou zijn en versleutelde opslag niet optioneel zou zijn, dan had je volkomen gelijk.

Echter lijkt WM6 pas 2.5 jaar oud te zijn:
http://www.networkdictionary.com/Software/Windows-CE.php
en is versleutelde opslag een beleids beslissing van de eigenaren van de exchange dozen.

2 / 4

ikstemtegen op Zaterdag 19 September 2009 02:53

En daarom stinken we er steeds in. WM6 is best "oud" en heeft een feature (data versleuteld opslaan). Die feature wordt gepeild vanaf Exchange. Eenmaal aan is niet meer uit, want dan wordt het onveilig.

Bij Windows Mobile 2003 werd er al gesproken over versleuteld opslaan. Hoe lang zit de feature in Exchange? Nadat WM6 ingeburgerd was of ervoor?

Het gaat heel sneaky maar bij een bedrijf waar het aanstaat zijn Iphones rotdingen. Daar hebben we al een keer gezeik mee gehad (nu dus). Laten we voor de zekerheid maar WM6 toestellen nemen.

1 / 1

eMilt ! op Donderdag 17 September 2009 13:37

Wat Jzf bedoeld is dat Exchange dus makkelijk voor de gek kan worden gehouden en zo'n "security feature" dus weinig zin heeft.

-3 / 7

SevenPRX op Donderdag 17 September 2009 13:48

Een client (werkstation, smartphone, whatever) die niet door JOU beheerd wordt, is 'in the hands of the enemy'. Hier kan je dus NOOIT een goede controle op uitvoeren. Dat heeft dus niks met Exchange te maken.

3 / 7

vinylat45 op Donderdag 17 September 2009 15:39

Hoezo niet een probleem van Exchange?

Exchange had de data remote kunnen versleutelen met een door Exchange geleverde sleutel die je moet ophalen om de mobiele data te 'unlocken'. Tevens had een checksum de server kunnen laten weten dat de data inderdaad versleuteld is.

Nu blijkt het slechts een boolean.

-5 / 7

SevenPRX op Donderdag 17 September 2009 15:46

Het gaat hier over het LOKAAL, op de iPhone encrypten v/d data.

Exchange kan niet op jouw iPhone kijken, of lokaal op je FS, de data daadwerkelijk geëncrypt is.

Exchange vraagt aan de ontvanger: is/wordt de data encrypt? iPhone antwoord: Ja. Exchange verstuurd vervolgens ter goede trouw de data.

Die wordt vervolgens dus niet encrypt, maar dat valt niet te checken door Exchange.

De policy had ervoor gezorgd dat de data niet gestuurd zou worden als de iPhone eerlijk had geantwoord dat het niet encrypted zou worden. Maar aangezien Apple hier er simpelweg voor kiest om te liegen... Tsja, Exchange is niet helderziend ;)

De enige manier van Exchange/MS om hier enige invloed op te hebben, is door een (eigen) client op het device te hebben.

1 / 5

vinylat45 op Donderdag 17 September 2009 21:05

Ik bedoel daadwerkelijk 'op de iPhone', hier een scenario:

-- scenario -- "language=human" --

iPhone: hi exchange server, ik wil mijn data op de iPhone openen

Server: dat kan, hier is een private key

iPhone: ff data openen

<iPhone doet dingen>

iPhone: ik stuur een mail

Server: joepie, je verstuurde mail is in je 'sent box'

iPhone: get mail in sent box

iPhone: ik ben klaar.

Server: hier mijn nieuwe public key, versleutel je data!

iPhone: de data is versleuteld met de public key van de server, dit is de checksum om te laten zien dat het waar is

Server: die checksum is identiek aan mijn checksum, joepie

Server: je kunt de data volgende keer pas openen als ik je een nieuwe private key geef

2 / 4

anonymous_118315 op Donderdag 17 September 2009 21:44

Het idee klinkt op zich best goed, maar het feit blijft dat de exchangeserver niet 100% kan controleren of de data op schijf versleuteld is.

Die private key kan vanaf dag nul naar de prullenbak gestuurd worden. En even een checksum berekenen is nu ook niet bepaald meer raket wetenschap.

Ik ben het met Seven eens dat er in dit geval ook een stukje vertrouwen moet zitten in de Client. Als die wil liegen, dan lukt dat geheid.

Maar goed, laat ik het positief afsluiten. Apple heeft het nu aangepast en dat is een goede zaak. Al had dit er wat mij betreft nooit in mogen zitten zonder dat het algemeen bekend was.

1 / 5

vinylat45 op Donderdag 17 September 2009 22:58

Inderdaad kan het mobiel alles faken, maar het moet wel eerst de data encrypten om een md5sum te kunnen maken. Waarom zou het dan niet die set gebruiken? Nog beter, de volgende keer kan de server een challenge-response doen om te kijken of tenminste de encrypte data nog aanwezig is.

--

Nog een punt wat me te binnenschoot. Het mobiel kan wel alles encrypt hebben, maar hoe je het went of keert, de data moet op een bepaald moment ontsleuteld worden. Hier is een code voor nodig.

Een pin van 4 cijfers is te makkelijk voor security en een wipe na 3 fails kan omzeilt worden door simpel een backup te maken.

Een lange code is beter, maar denk niet dat mensen elke keer 10 characters willen typen (hoofd/kleine letters en punctuatie).

--

SevenPRX heeft gelijk dat MS een eigen client had moeten maken.

-2 / 4

anonymous_118315 op Vrijdag 18 September 2009 12:46

Waarom zou het dan niet die set gebruiken?Dat realiseer ik me inderdaad ook. Maar de discussie was gelukkig niet of het logisch is, maar of het kan. :)

-1 / 1

SF2 op Zaterdag 19 September 2009 09:28

Ik ben het met Seven eens dat er in dit geval ook een stukje vertrouwen moet zitten in de Client. Als die wil liegen, dan lukt dat geheid.

"Een stukje vertrouwen" en security zijn begrippen die beslist niet samengaan. "Vertrouwen is goed, controle is beter" (Stalin).

Lekkere titel weer. Oké Apple heeft een foute oplossing bedacht maar het komt er op neer dat Exchange zich laat foppen. Vraag me af of er meer toestellen zijn die van deze "oplossing" gebruik maken?

1 / 1

willyb op Donderdag 17 September 2009 11:50

Titel is wat misleidend, de iPhone schrapt niets. "iPhone beveiligd opslag" was nog toepasselijker geweest.

-1 / 13

vinylat45 op Donderdag 17 September 2009 12:04

Dit geld voor pre 3GS modellen: op de server vink 'require encryption' uitzetten, doet Exchange toegang weer werkend maken.

Voor 3GS en later is er geen probleem.

Waarschijnlijk gaf de iPhone deze boolean onterecht mee, omdat je de iPhone remote kunt wipen. Niet echt ideale oplossing want je kunt het netwerk onderbreken door simpel de SIM eruit te halen.

-5 / 11

SevenPRX op Donderdag 17 September 2009 12:40

Wat bedoel je met "want je kunt het netwerk onderbreken door simpel de SIM eruit te halen."? Welk netwerk bedoel ik, en onderbreken...?

En encryptie aanzetten/aanlaten op een smartphone, die dus altijd connectie maakt via een 3e partij, lijkt me redelijk essentieel. Tenzij je dus in plain-text je pw wil verzenden, waarmee je dus toegang krijgt tot je corp network...

2 / 4

vinylat45 op Donderdag 17 September 2009 13:02

Een crimineel die de gegevens van een gestolen iPhone wilt afhalen, zal meteen de SIM eruit moeten trekken, zodat de MobileMe service voor Remote Wipe niet meer werkt.

1 / 3

swhnld op Donderdag 17 September 2009 13:42

Een crimineel die van welke mobiel ook de gegevens wil hebben moet hem uit zetten, gegevens eraf halen en de encryptie kraken.

Of je laat hem aan staan, stopt hem in een faraday kooi, en het netwerk is ook onbereikbaar.

Alleen realistisch, wie wil weten wat er op jou apparaat staat, hoe groot zijn de bedrijfsgeheimen op de gemiddelde zakelijke telefoon? Hoogstwaarschijnlijk is het bedoeld voor wederverkoop voor iemand die een nieuwe GSM nodig heeft en er niet te veel voor wil betalen.