Новые изменения безопасности систем Apple

Apple сегодня анонсировала целый набор существенных изменений в различных системах, обеспечивающих безопасность своих операционных систем и облачного сервиса iCloud. Я, увлекаясь темой информационной безопасности как хобби, могу только поприветствовать такие изменения.

Основных изменений три:
– Проверка ключей контактов в iMessage
– Поддержка физических ключей безопасности для акаунтов Apple ID
– Дополнительные разделы iCloud, которые теперь будут зашифрованы сквозным шифрованием.

Проверка ключей контактов при обмене сообщений в iMessage важна для тех людей, кто может испытывать на себе чрезмерный интерес различных органов — от разведывательных до государственных, например, журналисты. В этом случае те пользователи, которые активировали iMessage Contact Key Verification, получат сообщения, если в переписке будет замечено неавторизованное устройство (например, злоумышленники взломали учетку одного из участников переписки и вошли в нее со своего устройства, что позволяет получать на это устройство сообщения из переписки).

Добавление поддержки аппаратных ключей для учеток iCloud вызывает только один вопрос: “Почему не раньше?”. Собственно, да, можно только добавить, что “наконец-то”. Будут поддерживаться сторонние ключи, подключающиеся по разъему, а так же и NFC.
Continue reading

Apple и шифрование бэкапов iCloud

Так получается, что январь — это какое-то обострение новостей про Apple и информационную безопасность. Тема в целом сложная и запутанная, а когда в нее примешивать еще “экспертизу” и уверенность интернет-пользователей, то разобраться в ней бывает еще сложнее.

Вот и вчера у Reuters вышел материал, что Apple якобы отказалась от шифрования iCloud после жалоб ФБР о том, что это может помешать расследованиям. (А до этого еще была новость про сканирование фотографий в iCloud на предмет содержания сцен насилия над детьми. А совсем недавно – про разблокировку iPhone). Материал изобилует цитатами источников, пожелавших остаться неизвестными, которые знакомы с темой, хотя никто прямо не связывает события (требования ФБР) и результат (отсутствие шифрования у бэкапов iCloud). По ссылке есть хороший разбор Джона Грубера именно о тексте, цитировании и выводах в статье Reuters. Чего стоит только цитата одного из источников “Можете себе представить причины”. Да, я, например, могу, и там необязательно будет фигурировать требование ФБР. Поэтому одной из ключевых цитат материала я бы назвал эту:

Reuters could not determine why exactly Apple dropped the plan.

(Reuters не смогли определить точную причину, по которой Apple отказалась от плана (шифровать бэкапы))

Таким образом Reuters не смогла на основании собранных отзывов однозначно установить причинно-следственную связь, но многим этого и не нужно, они и “так все давно знали”. Хотя мне все же хочется разобраться в этом получше, и я очень надеюсь, что в ближайшее время мы услышим официальный комментарий от Apple по этому поводу.
Continue reading

Cybersecus дайджест

1. Огромный материал от Motherboard об отрасли “разблокировки” ворованных iPhone, привязанных к учеткам iCloud. Там и грабители, заставлявшие пользователей выходить из учёток iCloid, и последующий фишинг, чтобы заполучить пароль iCloud, если телефон все еще залочен. Дополнительно социальная инженерия с Apple, чтобы обмануть компанию и уговорить её разблокировать телефон — например, путем фальшивого инвойса о покупке, или взятками сотрудникам компании в магазинах. Там же и сторонние сервисы, которые часто промышляют подобным, запрашивая разблокировку у Apple. Прекрасный и интересный материал, рекомендую к прочтению
https://motherboard.vice.com/en_us/article/8xyq8v/how-to-unlock-icloud-stolen-iphone

2. Говоря о паролях и Apple, надо еще упомянуть несколько странную историю про продемонстрированный эксплойт неизвестной уязвимости, позволяющей добыть пароль из Keychain на Маке. Вот видео:
https://www.youtube.com/watch?v=nYTBZ9iPqsU

На нем видно, как исследователь Linuz Henze запускает приложение, добывающее пароли из “Связки Ключей” в macOS 10.14.3 (что как бы не очень хорошо). Детали самого эксплойта неизвестны, исследователь отказывается предоставлять их в Apple из-за отсутствия bug bounty программы для обнаруженных уязвимостей в macOS. Чтобы защититься уже сейчас от этой (и, возможно, других программ), которые используют эту уязвимость, можно защитить Keychain дополнительным паролем. Правда, чтобы воровать пароли, вредоносное приложение еще должно на ваш Мак попасть. Короче, ждем деталей.
Continue reading

Разочарование от сегодняшнего мероприятия

Нет, нет, это не скрипт сработал, опубликовав статью раньше мероприятия, так что не пугайтесь заголовка, а продолжайте читать. Меня много спрашивали — “расскажи, что ты думаешь о том, что там Apple покажет на своем мероприятии?”. Кто-то просил написать статью, кто-то просто просил сказать “ну а Макбуки-то новые будут?”. Постоянные читатели блога знают мое отношение ко всем этим прогнозам; если его резюмировать, то звучать оно будет примерно так: “мало того, что половина этих прогнозов — это либо буллшыт, либо выдавание желаемого за действительное, так вторая половина, основанная на утечках, еще и ощущение сюрприза отбирает от кейнотов”. Поэтому я предпочитаю особо не заморачиваться на эту тему и просто дожидаться мероприятия.
Более того, будь моя воля, я бы радостно защитился от всех этих слухов с помощью какого-нибудь заклинания типа “Экспекто патронум”, как у Гарри Поттера (здесь глубокий смысл и шутка с обыгрыванием слова expectations/ожидания, и да, лучше не читайте второй абзац к этой фразе в Urban Dictionary). Но поскольку от интернета отказаться трудно, то все же приходится видеть эти слухи и даже то, как потом эти слухи расползаются по интернету в виде “подтвержденной новости”.
Continue reading

Шифрованные бекапы iCloud

Сегодня как бы про разборки Apple с ФБР, но как бы и про отдельно от них. Как известно, Apple — компания очень двуличная, с одной стороны, типа бьется до последнего против ФБР, отказываясь разблокировать iPhone (хотя те, кто читает мой блог, должны были бы уже усвоить, в чем же отличия запроса ФБР от этого популярного мифа), а с другой стороны, радостно раздает бекапы iCloud по запросам правоохранительных органов. Собственно, дело-то как раз в том, что на iPhone данные шифруются в том числе с помощью пароля, который пользователь установил для входа в телефон, а в iCloud — только с помощью ключа, который Apple использует для инфраструктуры iCloud.
Таким образом, технически Apple имеет сразу возможность бекап расшифровать ключом, который имеется в наличии, поэтому при поступлении запроса от правоохранительных органов с соответствующим ордером Apple информацией вынуждена делиться. Возникает вопрос, почему Apple шифровала бекапы в iCloud таким образом? Как пишет Wall Street Journal, это было сделано для баланса безопасности и удобства: если пользователь забудет пароль от устройства, он не сможет получить доступ к своему бекапу и потеряет важную для себя информацию — документы, фоточки пениса котиков и настройки телефонов. Теперь же, похоже, Apple решила этим удобством пожертвовать, судя по информации, которая появилась в последние несколько дней.
Continue reading

Про Apple Music

У меня периодически спрашивают, что я думаю про Apple Music. Как ни странно, но мне даже нечего толком ответить, потому что я хоть и пользуюсь этим сервисом, но в такой мере, что я не могу как-то полноценно ответить на этот вопрос. Но когда это нам мешало? Не о провале же Samsung в продажах смартфонов и выручке писать в самом деле?
Вообще свое первоначальное мнение про Apple Music я озвучил сразу после презентации сервиса — с ним можно ознакомиться тут. Если “в крации”, то старт сервиса для меня был не очень понятен, основные фишки сервиса были представлены как-то вяло, запутано и скомкано, поэтому я даже до старта сервиса не очень понимал, что это такое и нужно ли мне это. Так-то вообще я и Spotify с Pandora не пользовался, потому что как-то привык слушать свою музыку, которую я за много лет себе накопил.
Continue reading

Впечатления от кейнота WWDC 2013

Вчера состоялось открытие ежегодной конференции разработчиков Apple — WWDC, в рамках которого на протяжении двух часов Тим Кук и другие топ-менеджеры Apple рассказывали о разных новинках, которые компания запустит либо вот уже, либо в ближайшее время. Полное перечисление всех анонсов с этого выступления я делать не хочу — уверен, что вы либо прочитали уже об этом, либо смотрели презентацию, поэтому лишнее дублирование нам ни к чему.
А вот своими впечатлениями от презентации мне поделиться хочется. Честно говоря, мне показалось, что это была одна из самых интересных презентаций Apple, возможно, с момента представления iPad — она была практически забита новинками, увлекательными демонстрациями, юмором и почти что сюрпризами. То, чего так ждали многие — случилось, мы получили и новую OS X, и новую iOS, новые MacBook Air, анонс Mac Pro, сервис iTunes Radio; прямо даже и не знаю, на что теперь будут надрачивать page views новостийные и слуховые сайты. Ну а я расскажу о том, что запомнилось мне — цифры, факты, реакция. В принципе, самое основное я уже изложил вчера в твиттере (пока меня не забанили), но тут можно развернуть мысли.
Continue reading

За прошедшую неделю…

Итак, стиснув зубы, после недельного перерыва возвращаюсь к ведению блога. Непросто, знаете ли, писать в блог, когда каждый день наблюдаешь такую картинку:

По клику для мазохистов, проживающих в более холодных климатах, доступна картинка в полном разрешении и со всеми exif/gps данными. Теперь, думаю, вы меня понимаете. К счастью, за время моего небольшого отпуска в мире Apple и гаджетов ничего особо значительного не произошло (ну разве что анонсировали полторы сотни новых смартфонов и планшетов на Android, а сейчас на MWC анонсируют еще в три раза больше), так что никто ничего и не пропустил.
Continue reading

Экзерсисы с iTunes Match (BETA)

Уважаемый Антон Носик давеча написал о своем недоразумении с iTunes Match, который заработал у него совсем не так, как обещал Джобс — вместо обещанных пары часов на все про все оказалось, что только на первый этап у Антона ушло более 7 часов, да и то он не закончился. Я изначально не собирался пользоваться iTunes Match, но решил проверить, как работает этот сервис.
Мне стало интересно, действительно ли Джобс вот прям так нагло обманул всех, как это может показаться после прочтения записи Носика, или все же мы имеем дело с локальным глюком у одного (а, может, даже и не у одного) пользователя. Должен сказать, что все оказалось не менее грустно, хотя и по-другому. Однако, прошу не забывать о том, что мы говорим о бета-версии этого сервиса, так что определенные глюки вполне возможны и, надеюсь, в перспективе они будут решены.
Continue reading