Schlagwort-Archive: BES

Untersuchung zur Sicherheit der Over-the-air-Erzeugung von Master Encryption Keys zwischen BlackBerry-Geräten und dem BlackBerry Enterprise Server

Im aktuellen Newsletter (der sehr zu empfehlen ist) von ERNW wird das Thema over-the-air-Erzeugung von Master Encryption keys zwischen Blackberry Server und Handheld analysiert. Der Artikel geht dabei sehr detailiert auf die Funktionsweise und die verwendeten Mechanismen zum sicheren Austausch des Schlüsselmaterials ein. Das Fazit der Bewertung fällt dabei „pro“ RIM aus:

(…) Die Erzeugung von Master Encryption Keys zur Inbetriebnahme von BlackBerry-Geräten und für das automatische Update von Master Encryption Keys zwischen BlackBerry-Geräten und dem BlackBerry Enterprise Server (BES) wird aufgrund der vorliegenden Untersuchung als sicher im Sinne aktueller Sicherheitsstandards bewertet. (…)

Neben dem reinen Austausch des Schlüsselmaterials gibt der Artikel auch weitere Hinweise wie die Policy des BES zu konfigurieren ist um einen sicheren Betrieb sicherstellen  zu können:

  • aktivieren der „Content Protection“ um die auf dem BlackBerry gespeicherten Daten (Schlüssel) zu schützen
  • setzen der Policy „Content Protection Strength IT-Policy“ auf „stronger“ um einen 283-bit langen ECC-Schlüssel zu erzwingen
  • aktivieren des Passwortschutzes mit der Policy „Password Required IT-Policy“ (sonst macht die Content Protection wenig Sinn 😉 )
  • setzen der „Minimum Password Length IT-Policy“ auf einen sicheren Wert – der Artikel empfiehlt hier zwölf Zeichen – dies dürfte jedoch in wenigen Umgebungen bei den Benutzern Zuspruch finden 😉

Zusätzlich zu dem Artikel des ERNW lege ich jedem auch noch die Untersuchungen des Frauenhofer Institutes ans Herz. Diese Untersuchung deckt alle Teile mit Ausnahme der Over-the-air-aktivierung ab und sollte daher als Basis jeder guten BES Konfiguration verwendet werden.

Frauenhofer SIT 2006

Frauenhofer SIT 2008 (deutlich hilfreicher als das 2006er Dokument)

Vodafone legts wirklich darauf an…

So, heute habe ich jetzt die letzte Abbuchung von Vodafone erhalten und was muß ich feststellen? Die Jungs sind echt der Hammer! Jetzt behaupten die doch tatsächlich schon wieder, dass ich für ~70 € extra im Ausland BlackBerry Dienste genutzt habe. Grundsätzlich kann ich ja mit solchen Aussagen leben – ABER NICHT, WENN MEIN BLACKBERRY SERVER SCHON ANFANG DES MONATS VOM UMZUGSUNTERNEHMEN EINGEPACKT WURDE! Mein Puls ist echt auf 180 und ich habe gerade echt lust nun doch meinen Anwalt einzuschalten. *grrrr* und sowas vor dem Wochenende.

… letzter Post zu dem Thema: https://www.security-blog.eu/2009/04/20/nie-wieder-vodafone/

Failed to open the default message store using the MAPI profile BlackberryManager

Hi,

meine Versuche den Blackberry Enterprise Servers (BES) auf einem ganz normalen Windows 2003 R2 (x86) System zu installieren wurde ich in den letzten Tagen nach dem erforderlichen Reboot und dem Start der Management Console durch die Fehlermeldung:

Failed to open the default message store using the MAPI profile BlackberryManager.

begrüßt. Auch mehrfaches neu installieren und hunderfaches prüfen der lokalen und Exchange Rechte konnten den Server nicht dazu bewegen die Installation zu Ende zu bringen.

Nachdem ich schon fast aufgegeben hatte habe ich gestern den Server ein weiteres mal neu installiert und danach den BES Installiert und oh Wunder, nach dem Reboot ging die Installation weiter! Das einzige, was  bei dieser Installation von den anderen Installationversuchen abweichend war, war die Tatsache, dass ich mich auf den Server nicht via RDP sondern mit Hilfe der VMWare-Konsole verbunden hatte!

Um das ganze gegen zu prüfen habe ich also (jetzt war ich neugierig…) die aktuelle VM gesichert und den SnapShot vor der Installation des BES eingespielt. Die Installation habe ich dann via RDP Verbindung gestartet und siehe da, o. g. Fehlermeldung begrüßte mich nach dem Reboot… Nach einem erneuten zurück setzten der VM und einer Erfolgreichen Installation via Konsole bin ich mir jetzt sicher, dass es an der RDP Sitzung hängt – warum auch immer…