О съемках видео сборки нашего автопроекта

У меня уже спрашивали некоторые знакомые, да и другим тоже наверняка может быть интересно о том, из чего состоит мой набор начинающего Ютюбера. Напомню, мы собираем в гараже реплику Shelby Cobra 1965 года, и я рассказываю об этом в серии видео в этом плейлисте.

Кто еще не подписался — лучше подпишитесь!
Continue reading

Apple и шифрование бэкапов iCloud

Так получается, что январь — это какое-то обострение новостей про Apple и информационную безопасность. Тема в целом сложная и запутанная, а когда в нее примешивать еще “экспертизу” и уверенность интернет-пользователей, то разобраться в ней бывает еще сложнее.

Вот и вчера у Reuters вышел материал, что Apple якобы отказалась от шифрования iCloud после жалоб ФБР о том, что это может помешать расследованиям. (А до этого еще была новость про сканирование фотографий в iCloud на предмет содержания сцен насилия над детьми. А совсем недавно – про разблокировку iPhone). Материал изобилует цитатами источников, пожелавших остаться неизвестными, которые знакомы с темой, хотя никто прямо не связывает события (требования ФБР) и результат (отсутствие шифрования у бэкапов iCloud). По ссылке есть хороший разбор Джона Грубера именно о тексте, цитировании и выводах в статье Reuters. Чего стоит только цитата одного из источников “Можете себе представить причины”. Да, я, например, могу, и там необязательно будет фигурировать требование ФБР. Поэтому одной из ключевых цитат материала я бы назвал эту:

Reuters could not determine why exactly Apple dropped the plan.

(Reuters не смогли определить точную причину, по которой Apple отказалась от плана (шифровать бэкапы))

Таким образом Reuters не смогла на основании собранных отзывов однозначно установить причинно-следственную связь, но многим этого и не нужно, они и “так все давно знали”. Хотя мне все же хочется разобраться в этом получше, и я очень надеюсь, что в ближайшее время мы услышим официальный комментарий от Apple по этому поводу.
Continue reading

Apple, ФБР и iPhone, сезон 2

Все в мире развивается по спирали или по кругу (кому как больше нравится, лишь бы в фарс не превращалось). Помните историю из, казалось бы, далекого 2015 года, когда ФБР пыталась заставить Apple разблокировать iPhone террориста? Вот тут по тэгу “fbi” снизу вверх можно проследить за развитием тех событий. Тогда, напомню, ФБР долго играло мышцами в попытках вынудить Apple создать бэкдор для iPhone для того, чтобы получить доступ к данным террориста. Закончилось все тем, что Cellebrite, компания, которая занимается взломом iPhone и получением данных с устройств, помогла ФБР выгрузить данные с iPhone 5C, и на этом история затихла (кстати, кажется, ничего нового из тех данных ФБР не узнала). Еще тогда было понятно, что затишье временное.

В последнее время в США (да и не только в США) опять стали раздаваться призывы к тому, чтобы технологические компании вроде Apple, Facebook и др. раскрыли свои системы шифрования, потому что “террористы, педофилы, вот это все”. Особенно в этом засветился текущий генпрокурор США Уильям Барр (с призывами, а не с педофилией). В качестве вишенки на торте пригодилась история вокруг сразу двух iPhone стрелка из Пенсакола, штат Флорида. 6 декабря Мохамед Саид Алшамрани убил трех человек на военно-морской базе во Флориде, и теперь ФБР пытается вскрыть принадлежавшие ему два iPhone (iPhone 5 и iPhone 7), оставшиеся после того, как его убили. Телефоны заблокированы паролями, и ФБР пока что не смогла разблокировать устройства (в один из телефонов он даже выстрелил для уничтожения, но в ФБР смогли его восстановить до рабочего состояния).
Continue reading

Два размера iPhone 11 Pro

Я всегда предпочитал смартфоны небольших размеров. В моем обзоре iPhone XS Max вы можете прочитать достаточно много моих размышлений и страданий по поводу размеров телефонов, и как я постепенно “созревал” к телефону большого размера через iPhone 7, а потом — iPhone X. В итоге в прошлом году я решил попробовать “пожить” на большом размере смартфона, и выбрал в качестве основного телефона XS Max с диагональю экрана 6,5 дюймов. В итоге размер смартфона, над которым я раньше потешался, и называл “лопатой”, у меня смог прижиться и я целый год пользовался самым большим смартфоном в линейке Apple. Телефон-то я огромным не перестал считать, но с размером свыкся, плюс в огороде иногда удобно грядку вскопать.

После года с XS Max я как-то по инерции “переехал” на iPhone 11 Pro Max, экран у которого того же размера, что и у XS Max. Но что-то меня меня глодали сомнения по поводу того, сделал ли я правильное решение, выбрав снова самый большой смартфон, поэтому я совершил ошибку, приняв решение сравнить для себя ощущения между 11 Pro и 11 Pro Max. Основной причиной этих сомнений было то, что телефон все-таки неудобно использовать одной рукой, и даже всевозможные ухищрения Apple в iOS не всегда помогают: постоянно приходится либо перехватывать телефон в руке, либо использовать другую руку.

Continue reading

Об уязвимости Boot ROM iPhone, джейлбрейке и последствиях

Тема с уязвимостью Checkm8 в бутлоадере iPhone обрастает постепенно информацией, апдейтами и уже практически работающими джейлбрейками. Напомню, исследователь axi0mX опубликовал информацию о дыре в миллионах устройств от iPhone 4S до iPhone X.

Что нужно знать об этом в первую очередь:
– Уязвимость позволяет сделать джейлбрейк устройству — то есть снять некоторые системные ограничения на установку других приложений и получить доступ к системному разделу, модифицировать систему и устанавливать приложения мимо App Store. Теоретически эта уязвимость в будущем может позволить установить различные версии iOS на устройства.
– При этом для реализации джейлбрейка требуется физический доступ к устройству, то есть его нельзя произвести удаленно.
– Джейлбрейк “разовый”, то есть на каждом рестарте телефона его надо делать снова
– Эта уязвимость не дает возможности получить доступ к пользовательским данным, так как они зашифрованы чипом Secure Enclave (то есть TouchID/FaceID устройства) — история хоть и неприятна для репутации Apple, но прямой угрозы пользовательским данным нет. (за исключением устройств iPhone 4S/5/5c, у которых нет SEP)
– Худшее в этой всей истории то, что эту уязвимость Apple не сможет исправить, так как этот код Boot ROM аппаратно встроен в устройство.
– Устройства, в которых отсутствует эта уязвимость — все модели, начиная с прошлого года, включая iPhone XR, XS, 11 и 11 Pro. (Жду теорий заговоров о том, что Apple таким образом пытается стимулировать продажи новых устройств)
Continue reading

Сентябрьский анонс Apple — Про ты или не про?

Как вы все знаете (разве что вдруг вы только сегодня прилетели с Марса), во вторник на прошлой неделе Apple провела традиционное сентябрьское мероприятие по анонсу новой коллекции ремешков к Apple Watch. А больше ничего интересного и не показали. Ну разве что еще новые iPhone, новые часы Apple Watch, и новый iPad, и другие мелочи. Хотя, подозреваю, многим это мероприятие может запомниться больше тем, что компания не показала (тэги, AR-очки, новые MacBook Pro, обратная зарядка наушников от телефона и тд). Слухи, которых в предверии мероприятий Apple циркулирует великое множество и разнообразие, обычно сильно завышают ожидания и оставляют сильное послевкусие «недодаденного».

В процессе подготовки к участию в подкасте и трансляции на YouTube, в которых я имел удовольствие поучаствовать на прошлой неделе, у меня было время подумать и сложить для себя главные мысли по поводу этих анонсов. Так что ниже я поделюсь, что я думаю о новых ремешках (и других анонсах), хотя, как жаловался один читатель в Твиттере, «об этом Эпол уже и так из каждого утюга». Но на то они и разные медиумы — аудио, видео, текст — чтобы у каждого был свой потребитель. Пойдём в том же порядке, что и Apple анонсировала новинки на презентации.
Continue reading

Чехарда апдейтов Apple

Что-то в этом году с обновлениями операционных систем у Apple сильно пошло не так. Обычно после анонса новых моделей iPhone в сентябре мы практически сразу получали обновления iOS/watchOS/tvOS, и довольно близко за ними шел релиз операционной системы для Маков. Потом, конечно, были и последующие обновления с исправлениями ошибок, новыми функциями и новыми ошибками, но в основном последовательность релизов оставалась такой на протяжении нескольких лет.

Еще за время тестирования бета-версией iOS 13 и macOS 10.15 Catalina (кстати, интересно, почему у macOS кодовое имя используется для маркетинга, а у iOS они остаются скрытыми?) я заметил довольно основательную “сырость” бета версий. Кроме того, от бета-версии к бета-версии появлялись новые фичи, а стабильность периодически даже ухудшалась. С iCloud и синхронизацией данных между устройствами происходило вообще что-то невероятное, и если почитать в интернете, можно найти немало жалоб на то, что многие первопроходимцы бета-версий вообще потеряли свои данные, которые хранились в облаке.
Continue reading

Find My

Один из самых интересных для меня анонсов на WWDC 2019 – это функция мониторинга устройств Apple пользователями, которую Apple назвала Find My. Общая идея возможности пользователю видеть свои устройства сама по себе не нова и присутствовала у Apple под названием Find My iPhone много лет (и со временем стала позволять обнаруживать не только iPhone, но и другие устройства Apple, в том числе Маки). Историй о том, как пользователи находили свои потерянные и украденные устройства, включая истории про погони по городам за ворами, достаточно много. В этом году Apple, объединив два приложения Find My iPhone и Find My Friends, представила новый сервис Find My, который должен стать единым местом для просмотра информации о местоположении людей и техники. С людьми и социальным аспектом в целом понятно, а вот мониторинг устройств приобрёл очень интересную функцию. Речь идёт о возможности пользователю видеть местоположение устройства, которое не подключено к интернету.


Continue reading

Cybersecus дайджест

Подборка новых материалов и ссылок, а также несколько таких, которые по случайности не попали во вчерашний выпуск.

Электрические скутеры — это хорошо? Ну, в целом, да, для города это вполне удобный способ передвижения. Многие сервисы по предоставлению скутеров используют скутеры Xiaomi M365. Так вот, эксперты компании Zimperium продемонстрировали концепцию ПО, которое позволяет злоумышленнику подключиться по Bluetooth к скутеру, и без использования пароля отправлять на скутер различные команды, в том числе для того, чтобы резко ускорить или остановить определенный скутер, на котором в данный момент едет человек. Xiaomi подтвердила, что такая проблема в скутерах действительно присутствует, но пока что исправленной прошивки для скутеров нет. Осторожней там!
https://blog.zimperium.com/dont-give-me-a-brake-xiaomi-scooter-hack-enables-dangerous-accelerations-and-stops-for-unsuspecting-riders/

Ссылка от читателя на статью с хорошим списком замечаний о законопроекте об автономности российской части интернета. И правильно, потому что “все корневые… вот это всё корневое, не знаю, как это называется… ”
https://vc.ru/legal/58336-osnovnye-voprosy-k-zakonoproektu-ob-avtonomnosti-runeta-posle-ego-prinyatiya-v-pervom-chtenii

Смешная история о том, как у журналистки украли iPhone, а затем она подружилась по переписке с подростком, которому в итоге достался этот айфон (журналистка в Лондоне, подросток в Индии).
https://thenextweb.com/syndication/2019/02/14/how-i-became-pen-pals-with-the-kid-whole-stole-my-iphone/

Не менее смешная история о том, как ямайский телефонный мошенник позвонил человеку в США и, пытаясь развести его на деньги, рассказывал о том, что жертва выиграла 72 млн долларов в лотерею, но чтобы получить деньги, ему надо перевести 50 тыс долл. Схема, я так понимаю, даже иногда работает, раз ею продолжают промышлять. Только в этом случае мошенник попал на человека, который в прошлом был директором ЦРУ и ФБР (Уильям Вебстер, единственный человек в истории США, занимавший эти две должности). В общем, закончилось все плохо для мошенника.
https://www.washingtonpost.com/crime-law/2019/02/12/william-webster-ex-fbi-cia-director-helps-feds-nab-jamaican-phone-scammer/

Я как-то писал об истории, из которой было понятно только то, что правоохранительные органы США склоняют Facebook к раскрытию шифрования Messenger для записи переговоров кого-то из подозреваемых в рамках какого-то определенного расследования. Тогда у правительства США не получилось заставить Facebook это сделать. Интересно, что правоохранительная организация ACLU пытались через суд получить детали этого расследования, но судья, как пишет Reuters, отказала, потому что “рассекречивание таких документов скомпроментировало методы правоохранительных органов”. Так что все продолжают оставаться в неведении, что и как хотели сделать правоохранительные органы, но это может служить очередным напоминанием о том, что им очень не нравятся механизмы шифрования и они будут продолжать пытаться обойти их или избавиться от них.
https://www.gizmodo.com.au/2019/02/you-dont-get-to-learn-how-the-fbi-tried-to-crack-facebook-messenger-encryption-judge-rules/

А тем временем в Великобритании вроде как предложили принять закон, по которому даже за случайный клик на материалы с пропагандой терроризма можно получить до 15 лет тюрьмы.
https://www.independent.co.uk/news/uk/crime/terrorist-propaganda-website-online-prison-sentence-uk-isis-a8776226.html

Cybersecus дайджест

1. Огромный материал от Motherboard об отрасли “разблокировки” ворованных iPhone, привязанных к учеткам iCloud. Там и грабители, заставлявшие пользователей выходить из учёток iCloid, и последующий фишинг, чтобы заполучить пароль iCloud, если телефон все еще залочен. Дополнительно социальная инженерия с Apple, чтобы обмануть компанию и уговорить её разблокировать телефон — например, путем фальшивого инвойса о покупке, или взятками сотрудникам компании в магазинах. Там же и сторонние сервисы, которые часто промышляют подобным, запрашивая разблокировку у Apple. Прекрасный и интересный материал, рекомендую к прочтению
https://motherboard.vice.com/en_us/article/8xyq8v/how-to-unlock-icloud-stolen-iphone

2. Говоря о паролях и Apple, надо еще упомянуть несколько странную историю про продемонстрированный эксплойт неизвестной уязвимости, позволяющей добыть пароль из Keychain на Маке. Вот видео:
https://www.youtube.com/watch?v=nYTBZ9iPqsU

На нем видно, как исследователь Linuz Henze запускает приложение, добывающее пароли из “Связки Ключей” в macOS 10.14.3 (что как бы не очень хорошо). Детали самого эксплойта неизвестны, исследователь отказывается предоставлять их в Apple из-за отсутствия bug bounty программы для обнаруженных уязвимостей в macOS. Чтобы защититься уже сейчас от этой (и, возможно, других программ), которые используют эту уязвимость, можно защитить Keychain дополнительным паролем. Правда, чтобы воровать пароли, вредоносное приложение еще должно на ваш Мак попасть. Короче, ждем деталей.
Continue reading