Новые изменения безопасности систем Apple

Apple сегодня анонсировала целый набор существенных изменений в различных системах, обеспечивающих безопасность своих операционных систем и облачного сервиса iCloud. Я, увлекаясь темой информационной безопасности как хобби, могу только поприветствовать такие изменения.

Основных изменений три:
– Проверка ключей контактов в iMessage
– Поддержка физических ключей безопасности для акаунтов Apple ID
– Дополнительные разделы iCloud, которые теперь будут зашифрованы сквозным шифрованием.

Проверка ключей контактов при обмене сообщений в iMessage важна для тех людей, кто может испытывать на себе чрезмерный интерес различных органов — от разведывательных до государственных, например, журналисты. В этом случае те пользователи, которые активировали iMessage Contact Key Verification, получат сообщения, если в переписке будет замечено неавторизованное устройство (например, злоумышленники взломали учетку одного из участников переписки и вошли в нее со своего устройства, что позволяет получать на это устройство сообщения из переписки).

Добавление поддержки аппаратных ключей для учеток iCloud вызывает только один вопрос: “Почему не раньше?”. Собственно, да, можно только добавить, что “наконец-то”. Будут поддерживаться сторонние ключи, подключающиеся по разъему, а так же и NFC.
Continue reading

Apple против NSO Group

Как вы уже, наверное, видели вчера, Apple подала в суд иск против компании NSO Group, израильского разработчика и поставщика ПО для взлома мобильных и настольных устройств. Сама новость про иск Apple к NSO забавная. У меня вчера уже была открыта одна ссылка про NSO — о достаточно плачевной ситуации в компании. Серьезные долги (около 500 млн), отваливающиеся контракты, растущие риски того, что компания прекратит свою деятельность, тут еще санкции со стороны США подкатили.

А тут еще и иск Apple. Вот, кстати, ссылка еще на полный документ иска (PDF)

Забавно, как Apple, обычно избегающая в официальных анонсах упоминания конкурентов, пишет:

“Атаки с использованием этой технологии направлены на очень небольшое количество пользователей, но охватывают разные платформы, в том числе iOS и Android.”

Continue reading

Дополнения по инициативе Apple по защите детей – разъяснения и ссылки

За прошедшее с последнего поста о борьбе Apple против контента с детским порно у меня накопилось какое-то количество полезных и интересных ссылок по поводу, поэтому сразу вывалю все в одном посте.

1. Мы записали в рамках подкаста Купертино выпуск, где как раз обсуждаем эту инициативу Apple, за и против, и потенциальные угрозы, которые могут от этого возникать
Видео
Аудио
Яндекс.Музыка
Google Podcast
Apple Music
(кроме этой темы, в подкасте есть еще много интересного контента про Car Play в Яндексе, редизайн Сафари и тд)

2. Крейг Федериги, главный в Apple по софту, дал интервью WSJ, в котором ответил на многие вопросы и дал разъяснение по поводу инициативы. Основное, что мы узнали из этого интервью — предел, после которого будет срабатывать алгоритм ручной проверки, составляет 30 изображений, хэш которых совпадет с уже известным CSAM. По мнению экспертов, такой высокий порог свидетельствует больше о желании ограничивать массовый общий доступ к фото, нежели поиск создателей такого контента.
Continue reading

Новые инициативы Apple по защите детей и скользкий путь

Тема “безопасности детей”, анонсированная Apple на прошлой неделе, продолжает активно “бухтеть”, обрастая все новыми и новыми комментариями с самых разных сторон. Деталей тоже добавляется, даже таких, которых не было в моем первоначальном посте. Я не помню, чтобы в обсуждениях какой-либо темы сообщество инфосека настолько разделилось: противников и сторонников этих инициатив предостаточно, и у каждого полно самых разных аргументов. Для меня лично очень интересным стал комментарий Алекса Стамоса (бывший главный безопасник Facebook), который, я думаю, понимает масштабы и глубину ужасов с подобными материалами:

Вся эта тема и обсуждения густо приправлены также недостатком информации (или мешаниной обрывков информации), поэтому я решил перевести один из лучших постов на эту тему у Джона Грубера. Он, как мне кажется, достаточно взвешенно озвучил “выгоду” от этих инициатив, не забыв также и об основной угрозе. Давненько я не переводил тексты, так что мой скилл мог вполне заржаветь, не судите строго.
———
Apple вчера анонсировала три новые инициативы “Безопасность детей”:

Первое: новые коммуникационные инструменты, которые помогут родителям быть более информированными и помогать детям справляться с онлайн-общением. Приложение Messages будет использовать машинное обучение на устройстве для предупреждений о “щекотливом” контенте (прим. пер.: тут я не смог придумать лучше альтернативу термину Sensitive, хотя понятно, о какого рода контенте идет речь), в то же время сохраняя частную переписку недоступной для Apple.

Continue reading

Apple и изменения в обеспечении безопасности детей

Есть большая и интересная тема, которую вчера анонсировала Apple. Вся забота — о детях же, конечно!

Вообще речь идет о трех основных вещах:

1. В мессенджере Messages появится инструмент определения фотографий с сексуальным контентом, и он будет предупреждать детей и их родителей о получении такого рода контента. Анализ фото будет проводиться на устройстве, и по умолчанию такие фотографии будут замазываться. Работать эта функция будет только для детских аккаунтов, у пользователей до 13 лет (к тому же опционально). По-моему, супер-полезно, хотя кого-то от Messages и оттолкнет.

2. В Siri и поиске на устройствах появится дополнительная возможность узнать о том, как оставаться в безопасности в онлайне.

3. И самая главная фича, которая вызвала уже довольно сильное бурление в интернете: теперь на устройстве будет проводиться некий анализ фотографий на предмет наличия в них контента с насилием над детьми — Child Sexual Abuse Material (CSAM). На самом деле это будет не совсем анализ в привычном для нас виде, когда потом можно найти все фотографии котиков или автомобиля в фотобиблиотеке. Для анализа будет использоваться база хешей Национального Центра для пропавших и эксплуатируемых детей и других организаций (National Center for Missing and Exploited Children (NCMEC), и сравниваться будет именно совпадение хешей. Раньше подобный анализ проводился над фотографиями, залитыми в iCloud, а теперь он в каком-то виде будет проводиться на устройстве до заливки в iCloud и затем при заливке будут инициироваться дополнительные проверки.
Continue reading

Новые возможности обеспечения конфиденциальности в системах Apple

Если вы не прилетели сегодня с Марса, то вы наверняка уже в курсе того, что на этой неделе проходит конференция разработчиков WWDC2021. На ней в понедельник Apple показала новые возможности операционных систем компании — iOS/iPadOS/macOS. Их на удивление в этом году очень много, списки новых возможностей для каждой системы просто огромные. (Мы вчера записывали новый выпуск подкаста Купертино, обсуждая анонсы WWDC, и как мы не старались, не смогли уложиться в полтора часа). В этом посте я не собираюсь рассказывать о всех новых возможностях, но расскажу о том, что мне понравилось больше всего — об обновлениях, которые улучшают конфиденциальность пользовательских данных. Как вы знаете, я эту тему люблю, и вообще одобряю всё, что эту самую конфиденциальность повышает. Там не все так просто и очевидно, но некоторые функции реально очень полезны и пригодятся многим, поэтому я хочу о них рассказать больше.

Защита от трекинга в интернете
В этом году Apple уже запустила в оборот функцию App Tracking Privacy, чем вызвала немало бурлений у Facebook и других рекламных агентств. (Там, напомню, речь идёт о том, что пользователь может запретить приложениям доступ к рекламному идентификатору устройства, что существенно усложняет связку различных активностей пользователей в сети и формирования его портрета). В iOS 15 появляются две очень полезные функции, которые еще больше затрудняют мониторинг активности пользователя.
Continue reading

Блокировка трекеров и рекламы с помощью Pi-hole

После эксперимента с роутером ASUS и возвращением на mesh wifi NetGear мне захотелось сделать с домашней сетью что-нибудь еще. Конечно, до виртуальных локальных сетей и серверных шкафов домашней сети мне пока далеко, да и не очень хочется этим заниматься пока что, а вот какие-то базовые вещи вполне можно сделать.У ASUS там были кое-какие встроенные настройки для безопасности сети, есть что-то и у NetGear, но за них хотят отдельную подписку. Поэтому очевидной была идея улучшения безопасности сети, и в частности — добавления механизма предотвращения трекинга в интернете устройств, находящихся в локальной сети дома. Один из таких инструментов — это построение “черной дыры” запросов DNS.

Многие, если не все, слышали про расширения для браузеров, которые отрезают рекламу и трекеры за пользователями на отдельно взятом устройстве — телефоне или компьютере. “Черные дыры” по сути, позволяют делать то же самое, но на уровне локальной сети с помощью фильтрации запросов DNS. Все, что нужно для этого сделать — добавить в сеть специальное программное обеспечение, перехватывающее DNS-запросы. Когда пользователь вбивает адрес сайта в строку браузера, на сервер DNS уходит запрос о переводе URL в IP-адрес сайта, к которому надо подключиться. Фильтры, о которых речь пойдет ниже, умеют блокировать часть DNS-запросов по известным спискам, таким образом предотвращая загрузку контента из сети. В списках в данном случае содержатся доменные адреса различных рекламных сетей, трекеров, фишинговых и других вредоносных сайтов. Я попробовал пару таких решений — Pi-hole и AdGuard Home — и делюсь тем, что я об этом узнал, поскольку в твиттере получил много вопросов по этому поводу.
Continue reading

Борьба с WiFi (или “За WiFi”?) или как я в домашней сети роутеры на роутеры менял

На прошлой неделе, воспользовавшись праздничным затишьем у некоторых коллег, я провел небольшой апгрейд домашней сети. (Звучит достаточно громко для ситуации, когда по сути всего лишь заменил пару беспроводных роутеров). К моему удивлению, мой опыт вызвал большой интерес, и читатели попросили рассказать более детально, что именно я сделал.

Сразу дисклеймер, что я не сетевой эксперт, поэтому то, о чем я напишу ниже, не пригодится для тех, кто готов собирать свою собственную платформу для домашней сети. Все эти “возьми тут эти железки за две копейки, накати на них кастомную прошивку, настрой вот это и вот это, и будет в два раза дешевле” (все это плотно приправлено еще неизвестными мне аббревиатурами) мне не подходит по причине отсутствия технической квалификации и времени с этим глубоко разбираться. Мне больше подходят готовые решения, которые “поставил и работает”, а если не работает — то можно и вернуть сразу. Это дороже, разумеется.

Я давно всерьез не пересматривал устройство домашней сети, и поэтому там за многие годы накопился тот еще зоопарк устройств. В дом входит оптика Verizon Fios (300Мбит, 60 долларов в месяц), и на конце провода есть ONT — Optical Network Terminal, устройство, которое переводит оптический сигнал в Ethernet. К нему был подключен роутер провайдера, который раздавал IP адреса, а также сам являлся точкой беспроводной связи (до 802.11ac). К этому роутеру через Ethernet была подключена одна точка Airport Time Capsule, которая создавала еще одну беспроводную сеть (тоже до 802.11ac), а к ней в режиме расширения сети были подключены более старые Airport Time Capsule и парочка Airport Express (все с 802.11n). Большая ATC служила местом для бэкапов Time Machine, вторая — хранилищем каких-то фильмов и сериалов, плюс свалкой “на всякий случай”. Потеря этих данных меня не пугает, так как я давно в связи с определенными событиями испытываю паранойю, и поэтому у меня есть несколько мест, где хранятся резервные копии важных данных, включая и offsite. (Данные хранятся на зашифрованных дисках, а внутри — зашифрованные образы, так что про паранойю я не шучу). Поэтому основная проблема скорее в синхронизации этих данных, но с этим я кое-как мирюсь и справляюсь.
Continue reading

О Gatekeeper и проверках сертификатов в macOS

Многие из вас наверняка уже видели вот этот пост про “кошмар на улице Эпол”
(Вот его перевод на Хабре)

Вкратце: на волне проблем с серверами обновлений в день выхода апдейта macOS 11 Big Sur у Apple возникли проблемы также с серверами проверки сертификатов разработчиков при запуске приложений на Маках. В итоге приложения на старте жутко тормозили или вообще падали (потому что упс, лажа, система была заточена на то, что сервер может быть недоступен, но не заточена на то, что сервер может отвечать медленно). Что и породило текст со ссылкой выше, где в весьма драматических тонах со ссылками на Столлмана и прочее было рассказано, как Apple все о вас знает, и ваш компьютер больше вам не принадлежит.
Continue reading

WWDC20 и изменения в защите данных пользователей

Конференция WWDC — это время не только анонсов новых версий операционных систем, но и (иногда) — смены процессорных архитектур, которых за историю Apple уже наберется приличное количество. Про переход на Arm (он же Apple silicon, он же “процессоры собственной разработки”) я особо не могу комментировать в связи с определенными обстоятельствами, но с удовольствием поговорю о тех изменениях защиты персональных данных, которые появятся уже в этом году для пользователей техники Apple.

Об одном из них я уже сегодня писал — про доступ сторонних приложений к буферу обмена в iOS14 и уведомлениям об этом, которые видит пользователей. Это изменение стало сюрпризом для некоторых разработчиков, и стало поводом для слухов о том, что все приложения пытаются украсть пользовательские данные, хотя реальность на самом деле не так ужасна. Собственно, алерт появляется, когда приложение пытается вставить что-то из буфера, и таким образом может прочитать его содержимое. Такой баннер в iOS14 показывается достаточно часто и пользователи обратили на него внимание. Еще в прошлом году компания Mysk опубликовала результаты исследования о том, как сторонние приложения могут читать содержимое буфера в iOS. Вот есть исследование на эту тему. Не удивлюсь, если именно это исследование стало толчком для этих изменений в iOS.
Continue reading