Новые изменения безопасности систем Apple

Apple сегодня анонсировала целый набор существенных изменений в различных системах, обеспечивающих безопасность своих операционных систем и облачного сервиса iCloud. Я, увлекаясь темой информационной безопасности как хобби, могу только поприветствовать такие изменения.

Основных изменений три:
– Проверка ключей контактов в iMessage
– Поддержка физических ключей безопасности для акаунтов Apple ID
– Дополнительные разделы iCloud, которые теперь будут зашифрованы сквозным шифрованием.

Проверка ключей контактов при обмене сообщений в iMessage важна для тех людей, кто может испытывать на себе чрезмерный интерес различных органов — от разведывательных до государственных, например, журналисты. В этом случае те пользователи, которые активировали iMessage Contact Key Verification, получат сообщения, если в переписке будет замечено неавторизованное устройство (например, злоумышленники взломали учетку одного из участников переписки и вошли в нее со своего устройства, что позволяет получать на это устройство сообщения из переписки).

Добавление поддержки аппаратных ключей для учеток iCloud вызывает только один вопрос: “Почему не раньше?”. Собственно, да, можно только добавить, что “наконец-то”. Будут поддерживаться сторонние ключи, подключающиеся по разъему, а так же и NFC.
Continue reading

Apple и шифрование бэкапов iCloud

Так получается, что январь — это какое-то обострение новостей про Apple и информационную безопасность. Тема в целом сложная и запутанная, а когда в нее примешивать еще “экспертизу” и уверенность интернет-пользователей, то разобраться в ней бывает еще сложнее.

Вот и вчера у Reuters вышел материал, что Apple якобы отказалась от шифрования iCloud после жалоб ФБР о том, что это может помешать расследованиям. (А до этого еще была новость про сканирование фотографий в iCloud на предмет содержания сцен насилия над детьми. А совсем недавно – про разблокировку iPhone). Материал изобилует цитатами источников, пожелавших остаться неизвестными, которые знакомы с темой, хотя никто прямо не связывает события (требования ФБР) и результат (отсутствие шифрования у бэкапов iCloud). По ссылке есть хороший разбор Джона Грубера именно о тексте, цитировании и выводах в статье Reuters. Чего стоит только цитата одного из источников “Можете себе представить причины”. Да, я, например, могу, и там необязательно будет фигурировать требование ФБР. Поэтому одной из ключевых цитат материала я бы назвал эту:

Reuters could not determine why exactly Apple dropped the plan.

(Reuters не смогли определить точную причину, по которой Apple отказалась от плана (шифровать бэкапы))

Таким образом Reuters не смогла на основании собранных отзывов однозначно установить причинно-следственную связь, но многим этого и не нужно, они и “так все давно знали”. Хотя мне все же хочется разобраться в этом получше, и я очень надеюсь, что в ближайшее время мы услышим официальный комментарий от Apple по этому поводу.
Continue reading

Про уязвимость, которой "вскрывали" iPhone террориста

Если вы вдруг соскучились по новостям на тему Apple против ФБР, то вот вам небольшое обновление на эту тему (гораздо больше на тему информационной безопасности можно почитать в канале в Телеграмме — это как более длинный твиттер, и со специализацией по определенной теме). Как известно, ФБР купила информацию о том, как получить доступ к данным на телефоне, и известно, что заплатили они за это более 1,3млн долларов, и даже известно, что они там нашли за эти деньги (Николай, Иван, Харитон, Устин, Яков).
Вчера представитель ФБР — заместитель директора по науке и технологиям — заявила, что ФБР не обладает достаточной информацией о том, как работает приобретенный организацией инструмент для того, чтобы рассматривать его дальнейшую судьбу в рамках Vulnerability Equities Process. Это, напомню, такой процесс, при котором разные правоохранительные органы и администрация президента решают, стоит ли раскрывать информацию об уязвимости перед разработчиком устройства или программного обеспечения для исправления ошибки.
Continue reading

Более 1,3 млн долл

Именно столько, по словам директора ФБР, организация заплатила за информацию о том, как получить доступ к данным на iPhone террориста Фарука. Директор ФБР не назвал конкретную сумму, но сказал, что это больше, чем он заработает за оставшиеся 7 лет и 4 месяца, которые он планирует проработать на посту руководителя организации. На январь 2015 года его годовая зарплата составляла 183 тыс долларов, что дает нам всего 1,34 млн долларов, не включая бонусы и повышения зарплаты.

“Странным образом, вся эта полемика и внимание к судебном процессу, я думаю, стимулировала какой-то рынок в мире — который не существовал до этого — для людей, пытающихся понять, как можно получить доступ в iPhone 5C, работающий под управлением iOS 9”, сказал Коми.

Покупка информации о zero-day vulnerability не то, чтобы новый рынок, но сумма, которую заплатила ФБР, однозначно, рекордная. До этого компания Zerodium, занимающаяся информационной безопасностью, предлагала до 1 млн долларов за информацию по различным уязвимостям для получения доступа к телефонам.
Continue reading

Что ФБР нашла на iPhone террориста

Наверно, в какой-то мере эта новость послужит завершением истории Apple против ФБР, по крайней мере, именно того этапа, который касается смартфона террориста Фарука из Сан Бернардино (поскольку в целом вопрос борьбы за конфиденциальность данных пользователей будет еще обсуждаться очень долго). Вчера CNN соообщила, причем в категории “Breaking news”, что “информация из телефона террориста помогла в расследовании“.
“Ага!”, воскликнут дурачки, поддерживавшие это распоряжение суда и требовавшие от Apple подчиниться “законным требованиям”. (Я уже просто устал повторять, что речь там шла совершенно не о “разблокировке устройства”, но сейчас, спустя два месяца с начала этой истории, я думаю, повторять еще раз уже просто бесполезно). Однако, поверьте, я сам дочь офицера ФБР в ситуации с “обнаружением информации на телефоне” не все так однозначно, как может показаться на первый взгляд.
Continue reading

Apple против ФБР — 1:0

Как вы уже наверняка слышали (об этом трубят практически с каждого столба), вчера ФБР подала в суд отчет о том, что организация смогла получить доступ к данным на телефоне террориста Фарука из Сан Бернардино, и, соответственно, ФБР больше не нуждается в помощи со стороны Apple. Таким образом, постановление суда к Apple (а не “иск ФБР/Минюста к Apple”, как пишут некоторые СМИ) от 16 февраля 2016 года о том, что Apple должна помочь ФБР разблокировать iPhone, утратило актуальность.
Вопросов ко всей этой ситуации много, а отдельного упоминания заслуживают “конспирологи”, с новым упорством бросившиеся доказывать, что все это был сговор Apple и ФБР (о глубинных мотивах сговора таких двух организаций я даже не буду рассуждать). Самое удивительное, разумеется, то, как хитрая ФБР смогла, не допустив утечек, втянуть в сговор со своей стороны не только полицию, но и целый американский МинЮст, а хитрая Apple смогла задурить голову всей Кремниевой Долине, выступившей в поддержку компании. Хотя, конечно, если допустить, что Google, Microsoft и Intel тоже заинтересованы в распространении какой-нибудь теории заговора с целью обмана потребителей, то тогда, разумеется, все сходится. Пояснять таким упоротым что-либо дальше совершенно бессмысленно.
b57e23ad25d5e407daa5f6a6ae76593b0ef04abea329a9bb5b2754d7bf39514e
Continue reading

Apple vs ФБР, конец первой серии

Главная новость вчерашнего дня — это вовсе не анонсы новых iPhone, iPad и даже новых ремешков для Apple Watch. Самая главная новость — это ходатайство, которое подала в суд ФБР в рамках процесса по “принуждению к помощи” Apple для вскрытия iPhone 5c, про который вы все уже, наверно, хорошо знаете. Так вот, ходатайство ФБР, которое было подано в суд вчера, прямо перед самым заседанием, которое должно было состояться сегодня, содержит в себе просьбу отменить заседание суда. Это ходатайство было поддержано судом, так что заседания 22 марта не будет.
Сам текст ходатайства ФБР можно прочитать здесь, решение судьи о том, чтобы его поддержать, доступно здесь. Ключевая фраза из ходатайства ФБР звучит так:

On Sunday, March 20, 2016, an outside party demonstrated to the FBI a possible method for unlocking Farook’s iPhone. Testing is required to determine whether it is a viable method that will not compromise data on Farook’s iPhone. If the method is viable, it should eliminate the need for the assistance from Apple Inc. (“Apple”) set forth in the All Writs Act Order in this case.

Continue reading

Шифрованные бекапы iCloud

Сегодня как бы про разборки Apple с ФБР, но как бы и про отдельно от них. Как известно, Apple — компания очень двуличная, с одной стороны, типа бьется до последнего против ФБР, отказываясь разблокировать iPhone (хотя те, кто читает мой блог, должны были бы уже усвоить, в чем же отличия запроса ФБР от этого популярного мифа), а с другой стороны, радостно раздает бекапы iCloud по запросам правоохранительных органов. Собственно, дело-то как раз в том, что на iPhone данные шифруются в том числе с помощью пароля, который пользователь установил для входа в телефон, а в iCloud — только с помощью ключа, который Apple использует для инфраструктуры iCloud.
Таким образом, технически Apple имеет сразу возможность бекап расшифровать ключом, который имеется в наличии, поэтому при поступлении запроса от правоохранительных органов с соответствующим ордером Apple информацией вынуждена делиться. Возникает вопрос, почему Apple шифровала бекапы в iCloud таким образом? Как пишет Wall Street Journal, это было сделано для баланса безопасности и удобства: если пользователь забудет пароль от устройства, он не сможет получить доступ к своему бекапу и потеряет важную для себя информацию — документы, фоточки пениса котиков и настройки телефонов. Теперь же, похоже, Apple решила этим удобством пожертвовать, судя по информации, которая появилась в последние несколько дней.
Continue reading

Apple против ФБР: ответный удар 2

Я уверен, что с момента публикации последней заметки на тему Apple против ФБР (11 марта) вы очень соскучились по обновлениям на эту тему, и их есть у меня! Несмотря на то, что основное событие будет только через неделю (22 марта — заседание суда по этому спору), в процессе происходят не менее интересные вещи.
Но сначала о смешном. Я забыл упомянуть об этом ранее, поэтому исправляюсь. В одной из аналитических записок для суда, поданной заместителем прокурора графства Сан Бернардино Гари Фаганом (Gary Fagan), разумеется, в поддержку позиции ФБР, упоминается наличие некоего “заложенного скрытого киберпатогена”, несущего некую опасность для инфраструктуры графства.
Screen-Shot-2016-03-03-at-9.37.00-PM
Continue reading

Мартовские мероприятия Apple

Вчера Apple разослала официальные приглашения на мероприятие 21 марта, которое компания проведет в презентационном зале кампуса в Купертино. Вот так выглядят приглашения, можете начинать гадать по нему:
reneritchie_2016-Mar-10
Но если вы вдруг думали, что я вам тут буду рассказывать о том, что покажет Apple на этой презентации, то вы глубоко ошибаетесь. Пересказывать всевозможные слухи, где что-то выдуманное, а что-то – основанное на утечках, и о чем пишут чуть ли не на каждом втором столбе в интернете, у меня нет никакого желания. Свою точку зрения по поводу слухов и предсказаний я уже неоднократно высказывал в блоге (раз, два, три), поэтому советую и вам расслабиться и просто дождаться мероприятия Apple; что покажут — то и покажут.
Continue reading