Убийца — аптекарь!

Отдельным бонусом история про чувака, который в Великобритании убил свою жену, для того, чтобы воссоединиться со своим бойфрендом в Австралии. И завести детей с помощью замороженных эмбрионов (а также собрать выплату в 2 млн фунтов по страховке жизни жены) . При этом он инсценировал ограбление, чтобы отвести от себя подозрение.

“ЧТО ЭТО ЗА ХРЕНЬ И ЗАЧЕМ ЭТО ЗДЕСЬ?”, спросите вы? Дело в том, что полиция смогла подтвердить обвинение в убийстве, получив данные об активности (в частности, шагов) с телефона подозреваемого и телефона его жены. В статье говорится, что на телефоне подозреваемого сразу через минуту после смерти жены было зафиксировано большое количество шагов, включая бег по лестнице вверх и вниз, когда он метался по дому, инсценируя ограбление. В то же время телефон жены оставался без движения, а потом записал 14 шагов, когда подозреваемый взял телефон с трупа жены, и вынес его на улицу рядом с домом, чтобы это выглядело, как будто телефон выпал у грабителя, покинувшего дом.

С одной стороны, технологии, конечно, это хорошо, когда помогают в таких случаях. А с другой — слежка, никакой конфиденциальности, вот это все. Черт его знает, как с этим мириться. 

DriveSavers и iPhone

Вчера в новостях мелькнула интересная новость от компании DriveSavers, что теперь у компании есть возможность добывать данные со смартфонов, даже если они защищены паролем (пресс-релиз). Причем эта услуга будет доступна и обычным потребителям, тем, кто, например, забыл пароль от устройства, заблокировал устройство слишком большим количеством попыток ввода неправильного пароля, или для ситуаций, когда нужно добыть данные с телефона умершего родственника.

По словам компании, они используют фирменную технологию, позволяющую получать доступ к данным на заблокированных устройствах. Ранее это было доступно для правоохранительных органов, использующих устройства компаний Cellebrite и Grayshift, а теперь это должно стать доступным и индивидуальным пользователям. Напомню, что с Grayshift история давняя и последний раунд после выхода iOS 12 вроде как остался за Apple. В случае с DriveSavers пользователи, обращающиеся за этой услугой, должны будут предоставить доказательства того, что телефон принадлежит им, а стоить услуга будет около 3900 долларов.

У MacRumors также есть комментарий от DriveSavers, в котором они подтвеждают, что они могут разблокировать iPhone и вернуть его разблокированным владельцу. Пока что эксперты, к которым я обратился, к этой новости относятся с недоверием и просят пруфы, но если то, что обещают DriveSavers, правда, то это может оказаться очень плохими новостями для Apple. Если DriveSavers обнаружили уязвимость в Secure Enclave (процессор, который обеспечивает безопасную загрузку и идентификацию пользователей в iOS-устройствах и некоторых Маках), то это может серьезно сказаться на репутации компании.

Апдейты по безопасности Apple

За последние пару дней накопилось сразу несколько интересных заметок про всякие вещи, связанные с информационной безопасностью и Apple одновременно, поэтому я собрал их все в одном посте.

Вчера Apple наконец-то выложила обновленные статьи о различных улучшениях безопасности (читай — исправленных уязвимостях) в последних версиях операционных систем. Ссылки на содержимое апдейтов в каждой операционной системе, а также в других продуктах компании, можно найти тут:
https://support.apple.com/en-us/HT201222. Я думаю, что тут достаточно упомянуть, что термин “arbitrary code” встречается в статье о содержимом апдейтов macOS 10.14 Mojave двадцать один раз.

Там же и такая прекрасная уязвимость под номером CVE-2018-4407 в обработке получения ICMP пакетов, позволяющая “завалить” работающие в той же сети Мак с High Sierra и ios-устройства с iOS 11, как продемонстрировано на этом видео в твите:


Continue reading

Про процессор T2

Apple вчера опубликовала интересный документ про процессор T2, который в современных Маках обеспечивает довольно много функциональности:
– безопасную загрузку компьютера
– работу файловой системы APFS
– работу Touch ID на Маке

Весь PDF (15 страниц) сам по себе представляет интересный и познавательный материал, рекомендую почитать. Иногда пишут, что Apple сознательно блокирует ремонт компьютеров “на стороне”, потому что хочет сама ремонтировать компьютеры и брать за это много денег. Не без этого, конечно, но вообще надо понимать, что компьютеры – это очень хороший и мощный вектор атаки на пользователя, и проверять целостность этого вектора это хорошая практика. Именно это и делает процессор T2 при загрузке компьютера, а сторонний ремонт и замена каких-то комплектующих может нарушать этот процесс.
Continue reading

Выступление Тима Кука о конфиденциальности персональных данных

На фоне новостей о слежке за пользователями со стороны WiFi-провайдера в Москве, выступление Тима Кука в Брюсселе вчера смотрится особенно актуально. Выступая на конференции, посвященной конфиденциальности данных (Conference of Data Protection and Privacy Commissioners (ICDPPC)), Тим Кук в достаточно жестких выражениях озвучил то, что происходит сегодня с пользовательскими данными:

“Наша личная информация — от ежедневных событий до глубоко личной информации — используется в качестве оружия против нас с армейской эффективностью. Эти кусочки данных, каждый безвредный сам по себе, аккуратно собираются, синтезируются, обмениваются и продаются. В экстремальных кейсах этот процесс создает живучий цифровой профиль и позволяет компаниям узнавать вас лучше, чем вы знаете себя. Ваш профиль — это куча алгоритмов, которые выдают вам все более экстремальный контент, превращая наши безвредные предпочтения во вред”.

(сравните это с тем, что делает с вашими данными та же максима телеком в предыдущем посте)

Кук не указывал прямо на рекламно-технологических конкурентов вроде Google, Facebook и другие компании, занимающиеся сбором и обработкой пользовательских данных, но было совершенно очевидно, о ком он говорил. Кроме этого, в своем выступлении Тим Кук похвалил принятие и внедрение европейского законодательства по охране пользовательских данных General Data Protection Regulation (GDPR), и призвал американских законодателей на федеральном уровне принять подобный закон. GDPR принуждает компании, хранящие пользовательские данные, обеспечивать максимальную безопасность этим данным (а также обеспечивает право пользователей узнавать, какую информацию хранит компания о нем, и требовать удаления этой информации). Работает ли GDPR на самом деле — это другой вопрос: спама больше не стало, а кто и как там хранит мою информацию на самом деле узнать все еще не просто. (Зато удалось почитать политики конфиденциальности многих сервисов и сайтов и ужаснуться количеству всяких сторонних сервисов, с которыми эти сайты могут делиться теми или иными пользовательскими данными).

Дальше в Твиттере Тим Кук продублировал озвученные во время выступления четыре основных принципа защиты права на сохранность частной информации, которые во многом перекликаются с тем, о чем говорится в акте GDPR:
1. Компании должны либо применять усилия по деперсонализации пользовательских данных, либо не собирать эти данные вообще.
2. Пользователи должны знать, какая информация о них собирается и с какой целью.
3. Компании должны понимать, что данные принадлежат пользователям и должны обеспечивать возможность пользователям получить эту информацию, изменить или удалить.
4. У всех есть право на безопасность своих данных. Безопасность лежит в основе всех прав конфиденциальности данных.

Если есть время, посмотрите видео выступления целиком:

Можно любить или ненавидеть Apple, можно относиться к ней индифферентно, но Apple, по сути, практически единственная из крупных технологических компаний, которая занимает четкую позицию по отношению к конфиденциальным пользовательским данным и их безопасности, в том числе и в переговорах с правительствами разных стран. Да, иногда эта позиция бывает “гибкой” и ей приходится соответствовать законодательству этих стран (например, история с Китаем и VPN-клиентами в App Store, когда пришлось удалить несертифицированные правительством Китая приложения из магазина). Возможно, это счастливое совпадение, что позиция также хорошо вписывается в бизнес-модель Apple, когда нет необходимости эксплуатировать пользовательские данные для того, чтобы демонстрировать финансовую состоятельность.

Кто-то может называть это “маркетингом” (как будто это что-то плохое). Важно, что за маркетингом озвученной позиции и подобных выступлений есть масса различных действий Apple в разработке устройств и операционных систем, которые подтверждают, что все эти заявления и выступления — это не пустые слова, а реально позиция компании. Если это помогает Apple продавать больше iPhone — отлично, потому что в результате покупатели получают более безопасные устройства, обеспечивающие сохранность пользовательских данных.

Окопавшееся издание Bloomberg и сервера с китайскими чипами

Издание Bloomberg, опубликовавшее статью о якобы китайских шпионских чипах в серверах SuperMicro, использующихся в датацентрах Apple, Amazon и других компаний, продолжает хранить гордое молчание, несмотря на призывы всех, кого только можно, либо предоставить доказательства об истории, изложенной в той статье.

Я внимательно слежу за этой историей, потому что мне очень интересно, чем она закончится, поэтому я постоянно публикую свежие обновления, появляющиеся по этой теме. С момента последней заметки:

1. Тим Кук в телефонном интервью BuzzFeed призвал издание отозвать статью, сказав, что в ней нет правды касательно Apple:

“There is no truth in their story about Apple. They need to do the right thing and retract it.”

Continue reading

Китайские чипы где?

Уже прошло больше двух недель с того момента, как в Bloomberg появилась душераздирающая и крышесносящая история про то, как китайские военные втихаря устанавливали на китайской фабрике микрочипы в сервера американской компании SuperMicro. Потом эти сервера якобы оказывались в дата-центрах Apple, Amazon и еще нескольких десятков компаний, и китайские разведчики начинали, видимо, следить за данными на серверах, или доступаться к ним удаленно, или еще что-нибудь не менее ужасное.

С тех пор историю опровергли Apple и Amazon, а также британская разведка и американское министерство национальной безопасности, и еще много кто. Возможно, те “десятки” других компаний, о которых Bloomberg упоминали в статье, могли бы тоже опровергнуть, но мы не знаем, кто они — никаких имен предоставлено не было.
Continue reading

Еще о китайских чипах в серверах

Меня самого эта тема уже немного утомила писать о ней каждый день, но это, наверно, по масштабам потенциально одна из основных новостей области информационной безопасности в этом году, поэтому появление новой информации по ней очень интересно.

Bloomberg пока что хранит гордое молчание по поводу обновлений истории, но зато за выходные высказалось Министерство национальной безопасности США. В их заявлении говорится, что они в курсе того, что это обсуждается в новостях, и у них нет поводов сомневаться в заявлениях компаний, фигурирующих в статье”. Не уверен, что участие в этой истории заявления МНБ вселяет в меня уверенность в правдивости заявлений компании, но формулировки заявления тоже достаточно однозначны. Напомню, что есть подобное заявление и от британского разведывательного агентства.

Buzzfeed пишет о том, что журналисты поговорили со своими источниками внутри Apple, и никто не может подтвердить историю Bloomberg. Вообще ничего близкого по теме, говорят источники.
Continue reading

Еще про китайский чип в серверах

Вчерашняя история с якобы китайским чипом, установленным в серверах Apple и Amazon за сутки, к сожалению, понятней не стала. С одной стороны есть издание Bloomberg, методы журналистских расследований которого известны и считаются одними из лучших в мире. Расследование этой темы заняло не один месяц, и прошло перед публикацией соответствующие проверки.

С другой стороны, есть вполне жесткие и однозначные ответы Apple и Amazon, которые во вполне конкретных формулировках опровергают утверждения из статьи Bloomberg про осведомленность компаний о расследовании и ситуации с чипами в целом. (Ниже в статье есть перевод на русский язык заявления Apple). Им вторит (втроит?) и заявление компании Supermicro, акции которой вчера провалились на 50% на новостях об устанавливаемых во время сборки на китайских фабриках секретных чипов. Надо понимать, что подобные статьи — это не просто PR-активность. Для публичных компаний подобные заявления — это официальные документы, которые проходят проверку у юристов и в случае сообщения ложных сведений руководство компании несет полную ответственность, включая уголовную, за ложные данные (подобные заявления регулируются Комиссией по ценным бумагам). Так что если ориентироваться на ситуацию “статья vs заявления”, тут уже каждый должен выбрать, кому верить.
Continue reading

История про китайский чип в серверах

Новость дня, безусловно, это статья на Bloomberg о микрочипе на платах для серверов компании Supermicro. Якобы во время сборки материнских плат для серверов компании Supermicro на платы устанавливался микроскопический чип, разработанный военным ведомством Китая. Эти материнские платы затем использовались в серверах, которые собирала компания Supermicro в США. А сервера, в свою очередь, использовались в дата-центрах других американских компаний, включая Amazon, Apple, Microsoft и еще несколько десятков компаний. Чип, исходя из материалов статьи, обеспечивал удаленный доступ к серверам, модифицируя код операционной системы (интересно, как это позволяло ему оставаться незамеченным?). Статья в Bloomberg изобилует массой деталей, как и информацией о многолетнем расследовании всей этой истории.

В статье говорится также о том, что якобы Apple заподозрила что-то еще в 2015 году, когда планировала большую закупку серверов для своих дата-центров (я даже припоминаю такие новости 3 года назад). Была вот еще такая история из 2017 года про проблемы в прошивках серверов. Но также нужно отметить, что и Amazon, и Apple заявили, что они не обладают информацией ни о подобных уязвимостях в серверах Supermicro, ни о расследовании этой истории, и сами неоднократно проводили аудиты серверов Supermicro, и никаких лишних чипов не обнаруживали. Правда, Apple также говорит, что однажды обнаружили зараженный драйвер в сервере, но никаких чипов не было. Вообще заявление Apple довольно жесткое и прямолинейное, утверждающее, что Bloomberg было бы неплохо усомниться в осведомленности или искренности их источников.

АПД А вот еще не менее жесткий ответ от Amazon:

There are so many inaccuracies in ‎this article as it relates to Amazon that they’re hard to count.

Правда, осадочек остается — дыма-то без огня не бывает, но непонятно, какой дым за какой огонь принимают журналисты Bloomberg.