Provaljena enkripcija iPhona

[nighthawk]

Posle sve one buke oko pokušaja FBI-a da natera Apple da dekriptuje telefon terorista iz San Bernandina (tj. da ubaci Backdoor u sve telefone), i potrošenih 1 000 000 dolara koje je FBI uplatio na račun privatne firme koja je trebalo da dekriptuje telefon, istraživač sa Kembridža je pokazao kako za 100 $ i 24 sata može da dešifruje telefon. Izvor.

Ovo nije samo zanimljiva vest, iz ove priče se može izvući važna pouka. Bruce Schneier počinje svoju knjigu "Applied Cryptography" rečenicom:

Citat:

There are two kinds of cryptography in this world: cryptography that will stop your kid sister from reading your files, and cryptography that will stop major governments from reading your files

Enkricija koju Apple koristi spada u ovu prvu grupu. Mnogi proizvođači hardvera, i poneki proizvođači softvera koriste mnoge prečice ili skroz ignorišu principe bezbedne enkripcije. U slučaju iPhone-a, PIN kod je imao 6 karaktera (ako ne grešim), što je bolno smešno. Zaštita je bilo to što je telefon brisao podatke posle određenog broja neuspelih pokušaja. Ovaj napad je izvršen tako što je čip odlemljen iz telefona i jednostavno prekopiran. To onda daje napadaču mogućnost za beskonačnim brojem pokušaja.

Ono što je izgradilo Apple imperiju je izuzetno vešta sposobnost prodaje običnog hardvera po naduvanim cenama i naročito pravljenje fancy softvera. Glavni krivci za loše obezbeđen telefon su UX i Marketing odelenje Apple-a.

Pouzdana i bezbedna enkripcija itekako postoji. Truecrypt recimo je i dalje bezbedan iako se FBI i mnoge druge agencije širom sveta bore da ga otključaju. GnuPG je takođe trn u oku svima koji vrše nadzor nad narodom, kao i SSL/TLS protokol, itd. Jedna od glavnih stvari po kojima se sigurna enkripcija može prepoznati je činjenica da je sofver otvorenog koda. Apple se oslanja na to da samo oni znaju kako njihov sistem radi (security through obscurity), što nikada nije dobra ideja. S druge strane, svako ima pristup open source softveru, činjenica da niko nije uspeo da otkrije neke ozbiljne propuste govori o tome da je dati softver (najverovatnije) bezbedan.

Drugi problem ovde je ljudski faktor. Bezbedne šifre se teško pamte a ključevi na prenosnim uređajima se lako mogu izgubiti... Upravo ovde UX i Marketing-driven pristup ruše bezbednost komercijalnih aplikacija. Apple se odlučio za PIN od 6 karaktera jer je to prosečnom korisniku lako da zapamti. S druge strane, Truecrypt recimo gunđa kada je šifra kraća od 22 karaktera (pod pretpostavom da se koriste svi znakovi i da je šifra random, šifra ove dužine ima 128 bita entropije, u praksi je to mnogo manje).

Dakle, ako vam je bitna bezbednost, držite se proverenih rešenja.

Btw, otisak prsta je takođe izuzetno nebezbedno rešenje, problem je malo broj kombinacija (nekoliko milijardi je jako malo) i to što je relativno lako "ukrasti" otisak prsta, tj. napraviti kopiju.

[aleksandrra]

I na kraju "dekriptovani" ajfon nije imao nikakve dokaze. Lično ne verujem da je ajfon uopšte otključan nego se radi o tome da je FBI hteo da pokaže kako je on najmoćniji. Mislim da je razlog to što je budžet Jabuke daleko veći od budžeta USA (koji je u debelom minusu), i da idu na to da je unište jer predstavlja pretnju.

Valjda ajfon javlja grešku ako se otvara od strane neovlašćenog lica, i ne možeš da prčkaš oko hardvera jer posle toga treba instalirati iOS preko iTunes-a. Ko je imao ajfon zna to. Odvalio čip, kako da ne.

I na kraju iPhone se prodaje po istim cenama po kojima se prodaje i Samsung slične klase, dakle ajfon uopšte ne pravi klasu budžetskih telefon koji bi bili dostupni svima. Cene iPhone 7plus od 32 GB je $749, Samsung s7 edge od 32 GB je $769.99, podaci sa njihovih sajtova. Telefon čiji se dizajn masovno kopira. Moja zamerka je što su zastali sa inovacijama.

[bachi]

Da li zaista iko veruje da jedna korporacija, ma koliko moćna bila može imati neku enkripciju za koju ne postoji backdoor za troslovne agencije?

Hajde da se ne zanosimo.

[Sass Drake]

Citat:

aleksandrra kaže:

I na kraju "dekriptovani" ajfon nije imao nikakve dokaze. Lično ne verujem da je ajfon uopšte otključan nego se radi o tome da je FBI hteo da pokaže kako je on najmoćniji. Mislim da je razlog to što je budžet Jabuke daleko veći od budžeta USA (koji je u debelom minusu), i da idu na to da je unište jer predstavlja pretnju.

Budžet SAD-a za vojsku je tričavih 585 milijardi dolara za 2016. Apple nema toliko.

[nighthawk]

Citat:

aleksandrra kaže:

Valjda ajfon javlja grešku ako se otvara od strane neovlašćenog lica, i ne možeš da prčkaš oko hardvera jer posle toga treba instalirati iOS preko iTunes-a. Ko je imao ajfon zna to. Odvalio čip, kako da ne.

Da, iPhone prijavljuje grešku i čak unišstava podatke posle nekoiliko neuspelih pokušaja dekripcije. Problem je što mora da bude ulkjučen da bi to radio. Genijalnost ovog napada leži u tome što je dotični gospodin odlemio čip i duplirao ga tehnologijom NAND mirroringa.

Samo odlemljivanje čipa je relativno jednostavna operacija, ne znam zašto te to čudi, svi Apploeovi proizvodi su ispod plastike i aluminijuma manje više isti kao proizvodi konkurencije - elektronske komponente zalemnljene na štampanu ploču.

Citat:

Da li zaista iko veruje da jedna korporacija, ma koliko moćna bila može imati neku enkripciju za koju ne postoji backdoor za troslovne agencije?

Moguće je, samo što softver mora biti open source. Da li misliš da Firefox ima neki backdoor?

@player1

Heartbleed bug jeste bio veoma ozbiljna stvar, ali ovo je izuzetak od pravila. U OSS svetu nema tako puno propusta, od ozbiljnijih stvari ja pamtim jedino problem sa pRNG u Debian sistemima.

S druge strane, problemi sa zatvorenim (komercijalnim) sistemima nisu samo ušuškanost i lenjost, nego i ono što sam već pomenuo, UX/marketing. Komercijalni proizvodi uglavnom moraju imati fancy izgled i moraju biti "user friendly". Kod svih sistema se mora napraviti kompromis izmedju bezbednosti i lakoće korišćenja, problem kod komercijalnih rešenja je što se bezbenost često namerno zapostavlja da bi se dobio lepši proizvod, a ne postoji (lak) način da krajni korisnik to proveri.

[aleksandrra]

Zašto taj koji otključava iCloud ne otkupi sve telefone i ne obogati se? Ono što kruži netom da može jeste prevara za naivne kao i dojave o nameštenim utakmicama. Mogao je na nekim starijim modelima da se radi bajpas, ali onda nema mrežu. FBI-u nije ni potrebna pomoć bilo koje kompanije niti bilo koga da prikuplja podatke o građanima, u svojim redovima ima dovoljno IT stručnjaka. I sad kao nije znao pa je platio nekom s dark weba 100 dolara da odlemi čip. Sve mi je postalo sumnjivo kad nisu ništa našli na telefonu. Kazna Applu je bila milion dolara po telefonu koji ne želi da otključa.

Citat:

Rockstar kaže:

"Budzet Jabuke veci od budzeta USA" - to mora da si procitala u komentarima na B92.

Amerika je u dubokoj recesiji, zaduženi su 60 000 dolara po stanovniku (što se na žalost prenosi na ostatak sveta kao lnčana reakcija), za razliku od nje Apple prihoduje.
http://www.usdebtclock.org/

Apple je u 2015 ostvario zaradu od 234 milijardi dolara.
http://www.apple.com/pr/library/2015...r-Results.html

Citat:

nighthawk kaže:

S druge strane, problemi sa zatvorenim (komercijalnim) sistemima nisu samo ušuškanost i lenjost, nego i ono što sam već pomenuo, UX/marketing.

Džaba tebi i najbolji proizvod ako ne možeš da zaradiš i ako nemaš dobar matketing, propadaš na tržištu.

[DeCoy]

Citat:

aleksandrra kaže:

Apple je u 2015 ostvario zaradu od 234 milijardi dolara.

Zarada nije isto što i profit, možeš ti da zaradiš i hiljadu milijardi a na kraju godine opet budeš u minusu. Nije to slučaj sa Apple-om čiji je profit u fiskalnoj 2015. bio nešto preko 50 milijardi, ali treba praviti razliku između ta dva termina.

Dok je sa druge strane US budget za 2015. godinu iznosio 3300 milijardi dolara, tj. nekih 15 puta je veći od Appleovih prihoda. To što je budžet u deficitu je neka druga priča...

[Neutrino]

Citat:

DeCoy kaže:

Zarada nije isto što i profit

Hteo si verovatno da kažeš obrt kapitala nije isto što i profit

[Schnak3]

Citat:

aleksandrra kaže:

Kazna Applu je bila milion dolara po telefonu koji ne želi da otključa.

Odakle ti ova informacija? Na kom osnovu mogu da naplate toliku cifru?

[Rockstar]

Citat:

Schnak3 kaže:

Odakle ti ova informacija? Na kom osnovu mogu da naplate toliku cifru?

Bukvalno sve sto je rekla je iz nekih, malo je reci "neinformisanih" krugova. Ljubitelji Applea i urbanih legendi

[Rockstar]

"Budzet Jabuke veci od budzeta USA" - to mora da si procitala u komentarima na B92.

[player1]

Otveren kod nije nikakva garancija. Setite se samo Open SSL i Hearthbleed napada.

Ono sto se problem kod zatvorenog koda je ususkanost i lenjost, dok je otvoren kod pod lupim svakakvih hakera

[LoneWolf]

Šta ja imam od toga? Ništa. Ne može da se razbije najobičniji iCloud, dakle dekriptovali su oni moj k***c, a tu foru sa NAND čipovima su Kinezi prodavali na darknetu još u doba ajfona 4s

[Rockstar]

Citat:

LoneWolf kaže:

Šta ja imam od toga? Ništa. Ne može da se razbije najobičniji iCloud, dakle dekriptovali su oni moj k***c, a tu foru sa NAND čipovima su Kinezi prodavali na darknetu još u doba ajfona 4s

Kako mislis, ne moze da se razbije iCloud? Seti se onog masovnog curenja golisavih fotografija silnih pevacica/glumica, moze itekako.

[LoneWolf]

Ne može. Curenje može da se dogodi sa iClouda preko sajta (neko ti skonta šifru ili uvali keylogger pa poskida sve fotke što si meć'o na cloud) ali NE I NA TELEFONU, pogotovo ne na telefonima koji su zaštićeni otiskom prsta ili reported lost. Probaj otključati ili mu pristupiti glumeći fake remote server, nema teorije. Reported lost + iCloud = bulletproof. Ako znaš kako, javi pa da probam na svom. Javim ti da li radi iz prve ruke, hvala unaprijed

[Rockstar]

Citat:

LoneWolf kaže:

Ne može. Curenje može da se dogodi sa iClouda preko sajta (neko ti skonta šifru ili uvali keylogger pa poskida sve fotke što si meć'o na cloud) ali NE I NA TELEFONU, pogotovo ne na telefonima koji su zaštićeni otiskom prsta ili reported lost. Probaj otključati ili mu pristupiti glumeći fake remote server, nema teorije. Reported lost + iCloud = bulletproof. Ako znaš kako, javi pa da probam na svom. Javim ti da li radi iz prve ruke, hvala unaprijed

Dobro, mislio sam na sajt. Uglavnom, ja sam 100℅ siguran da kada FBI/NSA zatrazi nesto od Applea, oni to i dostave, sve ostalo je predstava za javnost. To tvrdi i Snowden, izmedju ostalih.

[player1]

Dok god podaci nisu prisutni lokalno, ovaj exploit sa kopiranjem memorije ne moze da se iskoristi da se zaobidje unistenje podaka zbod previse pokusaja ulaza.

Naravno ako neko dodje i zapleni servere to je druga stvar.

[simke85]

Hteo je da kaže da prihodi nisu isto što i profit.

[Neutrino]

Citat:

simke85 kaže:

Hteo je da kaže da prihodi nisu isto što i profit.

E to je već okej. Ispravan termin bi bio prihod jer naš ekonomski žargon nema jasnu definiciju termina zarada kao što recimo nema ni definiciju profita već je zvaničan termin dobitak (ako firma posluje u plusu) = ukupni prihodi - ukupni rashodi (na kraju obračunske godine).

Eto, čisto da udovoljim ekonomisti u kući

[makiem]

Citat:

Neutrino kaže:

E to je već okej. Ispravan termin bi bio prihod jer naš ekonomski žargon nema jasnu definiciju termina zarada kao što recimo nema ni definiciju profita već je zvaničan termin dobitak (ako firma posluje u plusu) = ukupni prihodi - ukupni rashodi (na kraju obračunske godine).

Eto, čisto da udovoljim ekonomisti u kući

Dobro je, vec je pocelo da lici na reddit chain thread