Lesley Fowler
0 
3048
536
Šifriranje je blagodat za sve koji koriste digitalni uređaj. Internet bi bio opasno mjesto bez enkripcije. 5 uobičajenih vrsta šifriranja i zašto ne biste trebali napraviti svoje 5 uobičajenih vrsta šifriranja i zašto ne biste trebali napraviti svoje. Je li dobra ideja uvesti svoj vlastiti algoritam šifriranja? Jeste li se ikad zapitali koje su vrste šifriranja najčešće? Hajde da vidimo. , kao što su Wi-Fi pristupne točke i uređaji zaštićeni lozinkom poput iPhona.
Međutim, iPhone više nije bastion sigurnosti kakav je nekad bio. Američke agencije za provođenje zakona koriste se jeftinim alatom za zaobilaženje šifriranja iPhonea, drastično smanjujući privatnost, a pritom narušavaju sigurnost.
Evo dubljeg pogleda na novi alat GrayKey, što radi, zašto je opasno i zašto se Apple brine zbog toga.
Apple protiv FBI-a
Prije nego što ispitamo GrayKey, malo pozadinskog konteksta za šifriranje iPhonea i pokušaja ga probiti.
Sjećate se iPhonea iz San Bernardina? Nakon terorističkog napada u San Bernardinu, FBI je Apple izveo na sud. FBI je želio da Apple stvori stražnju zaštitu za šifriranje koja će im omogućiti da naruše iPhone sigurnost jednog od umrlih terorista. Naravno, Apple je odbio, ispravno tvrdeći da jednom stvorena stražnja vrata nikad neće biti zatvorena. Zašto nikada ne dopustimo da Vlada prekine šifriranje Zašto nikada ne smijemo dopustiti da Vlada prekine šifriranje : stvoriti šifriranje dostupno za državu unazad. Ali nije praktično. Evo zašto je šifriranje bitno za svakodnevni život. .
Izraelska zaštitna tvrtka Cellebrite na kraju je pronašla put preko Appleovih sigurnosnih mehanizama koristeći ranije nepoznatu ranjivost. A na telefonu nije bilo ničega za primijetiti. Također imajte na umu da je u to vrijeme usluga Cellebrite koštala 5000 dolara po uređaju, a telefon je trebao biti poslan u njihov sigurni objekt.
Bljesak naprijed 2017. 2017. Na tržištu se pojavljuje tvrtka poznata kao Grayshift, koja prodaje svoj novi proizvod: GrayKey. Svrha GrayKey-a bila je nejasna sve dok Thomas Fox-Brewster nije otkrio uređaj u Forbes Exclusive-u, uključujući nekoliko slika, kao i pregled što točno radi iPhone Unlocker.
Otključavanje iPhone-a GrayKey
Evo što je do sada poznato o uređaju za otključavanje GrayKey iPhonea.
Uređaj GrayKey mali je, sivi okvir dimenzija četiri inča dubok dva inča. U kutiji se nalaze dva kabela za munje koja istrčavaju prednju stranu za povezivanje dva iPhonea odjednom.
IPhone se povezuje na GrayKey uređaj otprilike dvije minute, nakon čega se oni isključuju, ali još nisu pukli. Stvarno vrijeme pucanja ovisi o snazi lozinke.
Jednostavan pristupni kôd traje oko dva sata da bi se probio brutalom, dok teži kodovi (šest znamenki) mogu potrajati tri dana ili duže. GrayKey dokumentacija, koju su također vidjeli Malwarebytes, ne spominje vrijeme pucanja za duže kombinacije.
Kad pukotina pronađe pristupni kôd uređaja, telefon će prikazati crni zaslon na kojem je prikazan kôd s ostalim podacima o uređaju. (Savjeti za stvaranje snažne i nezaboravne lozinke. Kako stvoriti jaku lozinku koju nećete zaboraviti Kako stvoriti jaku lozinku koju nećete zaboraviti Znate kako stvoriti i zapamtiti dobru lozinku? Evo nekoliko savjeta i savjeta. za održavanje snažnih, zasebnih lozinki za sve vaše mrežne račune.)
GrayKey preuzima cijeli iPhone
Otključavač prikazuje pristupni kôd uređaja, ali isto tako preuzima cijeli iPhone datotečni sustav na GrayKey uređaj. Zatim se GrayKey povezuje na internetsko sučelje gdje je dostupno za analizu.
Na slici ispod prikazani su rezultati ispucalog iPhonea X. Imajte na umu “Pronađen je pristupni kôd,” vrlo nedavna “Verzija softvera,” i the “iTunes sigurnosna kopija” i “Potpuni datotečni sustav” dostupno za preuzimanje (uključujući njihov hash SHA256).
GrayKey košta puno novca
Otvarač iPhonea GrayKey ima dvije različite verzije.
Prvi model košta 15.000 dolara i za rad mu je potrebna internetska povezanost. Pri tome je uređaj usmjeren na mrežu za početno postavljanje kako bi se osiguralo da GreKey nije lako prenijeti. Druga izvješća tvrde da postojani model internetske veze također omogućuje samo 300 otključavanja, radeći po cijeni od 50 USD po iPhoneu.
Drugi model košta 30 000 dolara i radi izvan mreže, bez vidljivog ograničenja u broju korištenja GrayKey uređaja. Pretpostavlja se da će uređaj raditi sve dok Apple konačno ne utvrdi ranjivost i ne zakrpi ga.
Koje agencije za provedbu zakona imaju GreyKey?
Iako su to nesumnjivo ogromne svote novca, proračuni agencija za provođenje zakona lako će se (ili čudesno, ovisno o agenciji) protegnuti za alat koji stvara potpuno novi put informacija. Pogotovo jedna koja je do sada nedostupna mnogim agencijama, barem u tako naoko laganom kapacitetu.
Trenutačna istraga matične ploče otkrila je da je nekoliko različitih vrsta agencija već kupilo GrayKey:
- Lokalna policija: Policija okruga Miami-Dade navela je da je možda kupila uređaj GrayKey.
- Regionalna policija: Državna policija Marylanda i Državna policija Indiane izdala su obrasce za nabavu uređaja GrayKey.
- Gradska policija: Dokumenti također govore da je policijska uprava Metropolitane Indianapolis dobila citat od Grayshifta u vezi s uređajima GrayKey.
- Tajna služba: Agencije za e-poštu pokazuju kako planira kupiti šest GrayKey uređaja.
- State Department: Državni ured za diplomatsku sigurnost kupio je u ožujku 2018. od Grayshifta 15.000 dolara, prema evidencijama javnih nabava.
- DEA: Agencija za provođenje droga izdala je dokument Sources Sought za offline uređaj GrayKey.
- FBI: Internetski zapisi o javnim nabavama pokazuju da FBI želi kupiti šest GrayKey uređaja.
Ako Grayshift's GrayKey nastavi pružati vlastima prethodno nedostupne podatke iPhone-a, vjerojatno ćete vidjeti i više obrazaca za nabavu agencija.
IRS je sada GrayShift klijent - kupnja kompleta iPhone hakera za 15.000 dolara https://t.co/lWDLQscSHY
- Thomas Fox-Brewster (@iblametom) 23. lipnja 2018
Što Apple radi da zaustavi GrayKey?
Kao što možete zamisliti, Apple nije najbolje zadovoljan time što je sigurnost iPhonea toliko javno narušena. I ne samo stari iPhone-ovi - govorimo o vrhunskim uređajima koji rade neke od najnovijih verzija iOS-a. Apple neće sjediti i čekati Grayshift kako bi ranjivost održala otvorenom.
Umjesto toga, u trenutnoj javnoj beta verziji iOS-a 12 nova je značajka koja drastično ograničava pristup Lightning portu zaključanog iPhonea. (Više značajki dolazi na vaš iPhone s iOS 12! Što je novo u iOS-u 12? 9 Promjene i značajke za provjeru Što je novo u iOS-u 12? 9 Promjene i značajke za provjeru iOS 12 je stigao. Saznajte više o uzbudljivim novim značajkama koje su sada dostupne na iPhoneu ili iPadu u vašoj blizini.)
“Neprekidno jačamo sigurnosnu zaštitu u svakom Appleovom proizvodu kako bismo pomogli kupcima da se zaštite od hakera, kradljivaca identiteta i upada u njihove osobne podatke,” glasnogovornik Applea rekao je Reutersu. “Izuzetno poštujemo policiju i ne planiramo poboljšati sigurnost kako bismo ometali njihove napore da rade svoj posao.”
iOS 12 učinit će napade brutanjem Lightning Port beskorisnim onemogućivanjem pristupa toj ruti nakon samo sat vremena. Novi USB ograničeni način zaustavit će bilo kakvu podatkovnu komunikaciju s novo spojenog uređaja nakon tog 60-minutnog razdoblja, čime će GrayKey učiniti beskorisnim. Trenutačne postavke ograničenog načina USB-a imaju vremensko ograničenje od tjedan dana, pa vlastima daju dugotrajno razdoblje za nadu ukrštanja lozinke.
Kako se možete zaštititi od GrayKey-a?
S obzirom na dolazno ažuriranje na iOS 12 i uvođenje ograničenja za USB ograničeni način rada, trenutno možete učiniti samo jedno: ažurirati svoje pristupne kodove. Uvijek biste trebali koristiti najmanje osam znamenki da biste zaštitili telefon. S druge strane, da biste istinski iskoristili svoju sigurnost na iPhoneu, prebacite se na dulju zaporku.
iOS podržava prilagođene numeričke i prilagođene alfanumeričke kodove bilo koje duljine. Zaporka koristi više riječi za stvaranje jačeg zaključavanja. Zašto su lozinke i dalje bolje od lozinki i otisaka prstiju. Zašto su lozinke i dalje bolje od lozinki i otisaka prstiju. Sjetite se kada lozinke nisu morale biti komplicirane? Kad su se PIN-ovi lako upamtili? Ti dani prolaze, a rizik od cyber kriminala znači da su skeneri otiska prsta pored beskorisnih. Vrijeme je da počnete koristiti pristupne kodove ... nego svoj uobičajeni PIN ili lozinku. Pogledajte izuzetno relevantan XKCD strip za više informacija:
Područje sive boje GrayKey
Trenutno, agencije za provođenje zakona drže kartice. Barem u određenom smislu. IPhone s lošom sigurnošću je ranjiv. Međutim, ova situacija možda neće dugo trajati, osim ako Grayshift nastavi pronalaziti ranjivosti i zaobilaziti Apple-ove sigurnosne zakrpe za iPhone. Nadalje, GrayKey nije bez presedana.
IP-Box je bio sličan uređaj koji je mogao pristupiti informacijama zaključanih iPhonea s starijim verzijama iOS-a. Njegova funkcionalnost prestala je nadogradnjom iOS 8.2, ali je pokrenuo IP-Box 2. IP-Box 2 je i dalje široko dostupan, ali zahtijeva znanje o uklanjanju čipova integriranog kruga da bi se stavio u uređaj.
Postoje i druge implikacije. Je li iPhone trajno ranjiv nakon dovršetka probijanja lozinke? Može li vlasnik iPhone-a ponovno upotrebljavati telefon kao uobičajen ili ga treba zamijeniti?
I na kraju, kako vlasti trebaju odlučiti kada će koristiti svoj GrayKey uređaj? Mislim, postoji li definirani protokol koji upravlja pucanjem lozinke uređaja pomoću alata treće strane? Trebaju li izjave, razumna sumnja i slično?
U toku su implikacije i rasprave oko pucanja lozinke za iPhone pomoću uređaja GrayKey. Siguran sam da većina čitatelja očekuje da policijska uprava učini što više kako bi zaštitila žrtve. Ako pucanje lozinke postaje temelj načela građanske sigurnosti, vjerujete li vlastima da će to vlast provoditi u pravo vrijeme?
?