Tajemnica twierdzy szyfrów
Od paru dni internet cały aż huczy na temat kolejnej kompromitacji systemu zabezpieczeń Apple. Myślałem, że uda mi się przeczekać całe to ...
http://applefobia.blogspot.com/2014/02/tajemnica-twierdzy-szyfrow.html
Od paru dni internet cały aż huczy na temat kolejnej kompromitacji systemu zabezpieczeń Apple. Myślałem, że uda mi się przeczekać całe to zamieszanie, ale tak marudzicie o jakiś komentarz, że w końcu musiałem coś napisać...
Wszystko zaczęło się czasie ostatniego weekendu. Liczyłem na to, że spędzę spokojnie wolne dni przed telewizorkiem Junost, oglądając przygody Czterech Pancernych i radosną działalność szpiegowską porucznika Klossa. Borsuk coś tam sobie majsterkował w kącie - chyba przerabiał wygrzebanego w śmietniku przy Starbucksie iPhona 5s z czytnikiem linii papilarnych na wykrywacz dżdżownic i pędraków. Po zakopaniu w ziemi iPhone miał przy pomocy czujnika identyfikować rodzaj pełzającego w pobliżu pożywienia i informować o tym borsuka na Twitterze, czy jakoś tak... Ale ja nie o tym...
O tym, że coś się kroi, zorientowałem się w chwili, gdy zaczęły przychodzić od was alarmujące maile. Pierwszym symptomem było pojawienie się na horyzoncie rowera z pedałującym zawzięcie panem Mietkiem, zaprzyjaźnionym listonoszem, który dostarcza mi internet i przywozi na rowerze wydrukowane maile od czytelników Applefobii. Wcisnął mi w ręce cały pęk kartek i ciężko dysząc wykrztusił - Zaczęło się!
A zaczęło się od tego, że Apple wydało poprawkę do iOS, która przyprawiła o przedwczesną siwiznę wszystkich specjalistów od zabezpieczeń. Okazało się, że Najbezpieczniejszy System Operacyjny Świata ma - i to od nie wiadomo jak dawna - dziurę wielkości krateru w Arizonie, która czyni całkowicie bezużytecznym proces szyfrowania danych za pomocą protokołu SSL. Innymi słowy - hasła, loginy i inne poufne informacje, wędrujące siecią z iGadżetów na serwer i z powrotem, mogą zostać metodą "Man in the middle" przechwycone i odczytane już nie tylko przez NSA, ale przez każdego złośliwego spryciulę, który znajdzie się po drodze.
Tym spryciulą może być np. niewyżyty technik u osiedlowego dostawcy internetu, nudzący się admin sieci w Starbucksie czy dowolny operator darmowego hotspota gdzieś na mieście. Nie będę się bawił w szczegóły, bo znacie się na tym lepiej ode mnie, ale efekt jest taki, że niepowołana osoba może np. czytać wasze maile i buszować po koncie bankowym. Samo wyczyszczenie rachunku z oszczędności na kolejny cudowny gadżet Apple to nic, ale strach pomyśleć co będzie, gdy ktoś wrzuci na Fejsa informację, ile w tym miesiącu wydaliście na akcesoria sado-maso dla swojej kozy.
Jak się okazuje, implementacja protokołu SSL okazała się dla Apple zbyt trudna. Twierdza szyfrów, jaką podobno miał być iOS, okazała się spróchniałą sławojką. Ciekawe, na co ajfoniarzom 128-bitowe szyfrowanie w 64-bitowym systemie operacyjnym i całe to pitolenie o bezpieczeństwie i prywatności, którymi Apple tak się chwali. Chodzą dumni jak pawie, nie wiedząc, że zamiast pysznego ogona mają tylko dodatkową dziurę w d.pie...
Skuteczność szyfrowania połączeń w ekosystemie Apple można porównać do działania super tajnej niemieckiej maszyny szyfrującej Enigma. Z tą drobną różnicą, że żaden operator Enigmy nie miał zwyczaju czytać potem na głos w tramwaju kartek z treścią odkodowanych meldunków i nie rozdawał przypadkowym przechodniom bębnów szyfrujących.
Przy okazji aktualizacji iOS wyszła na jaw jeszcze jedna ciekawostka. Łatkę do systemu dostały również starsze iGadżety. Posiadacze antycznych iPhonów 4 i iPadów 2 cieszyli się jak dzieci, że Apple tak się o nich troszczy. Na MyApple jakiś zachwycony user nawet pochwalił się, że dostał poprawkę na 3GS-a. To takie miłe, że Apple dba nawet o użytkowników starszego sprzętu! Hmm... Mam dla was złą wiadomość. Nic z tych rzeczy - po prostu dziura w systemie jest o wiele starsza, niż myślicie...
PS. Ta sama dziura siedzi też w OS X. Ale na nią nie ma jeszcze łatki...
Źródło: Niebezpiecznik, Zaufana Trzecia Strona
Wszystko zaczęło się czasie ostatniego weekendu. Liczyłem na to, że spędzę spokojnie wolne dni przed telewizorkiem Junost, oglądając przygody Czterech Pancernych i radosną działalność szpiegowską porucznika Klossa. Borsuk coś tam sobie majsterkował w kącie - chyba przerabiał wygrzebanego w śmietniku przy Starbucksie iPhona 5s z czytnikiem linii papilarnych na wykrywacz dżdżownic i pędraków. Po zakopaniu w ziemi iPhone miał przy pomocy czujnika identyfikować rodzaj pełzającego w pobliżu pożywienia i informować o tym borsuka na Twitterze, czy jakoś tak... Ale ja nie o tym...
O tym, że coś się kroi, zorientowałem się w chwili, gdy zaczęły przychodzić od was alarmujące maile. Pierwszym symptomem było pojawienie się na horyzoncie rowera z pedałującym zawzięcie panem Mietkiem, zaprzyjaźnionym listonoszem, który dostarcza mi internet i przywozi na rowerze wydrukowane maile od czytelników Applefobii. Wcisnął mi w ręce cały pęk kartek i ciężko dysząc wykrztusił - Zaczęło się!
A zaczęło się od tego, że Apple wydało poprawkę do iOS, która przyprawiła o przedwczesną siwiznę wszystkich specjalistów od zabezpieczeń. Okazało się, że Najbezpieczniejszy System Operacyjny Świata ma - i to od nie wiadomo jak dawna - dziurę wielkości krateru w Arizonie, która czyni całkowicie bezużytecznym proces szyfrowania danych za pomocą protokołu SSL. Innymi słowy - hasła, loginy i inne poufne informacje, wędrujące siecią z iGadżetów na serwer i z powrotem, mogą zostać metodą "Man in the middle" przechwycone i odczytane już nie tylko przez NSA, ale przez każdego złośliwego spryciulę, który znajdzie się po drodze.
Tym spryciulą może być np. niewyżyty technik u osiedlowego dostawcy internetu, nudzący się admin sieci w Starbucksie czy dowolny operator darmowego hotspota gdzieś na mieście. Nie będę się bawił w szczegóły, bo znacie się na tym lepiej ode mnie, ale efekt jest taki, że niepowołana osoba może np. czytać wasze maile i buszować po koncie bankowym. Samo wyczyszczenie rachunku z oszczędności na kolejny cudowny gadżet Apple to nic, ale strach pomyśleć co będzie, gdy ktoś wrzuci na Fejsa informację, ile w tym miesiącu wydaliście na akcesoria sado-maso dla swojej kozy.
Jak się okazuje, implementacja protokołu SSL okazała się dla Apple zbyt trudna. Twierdza szyfrów, jaką podobno miał być iOS, okazała się spróchniałą sławojką. Ciekawe, na co ajfoniarzom 128-bitowe szyfrowanie w 64-bitowym systemie operacyjnym i całe to pitolenie o bezpieczeństwie i prywatności, którymi Apple tak się chwali. Chodzą dumni jak pawie, nie wiedząc, że zamiast pysznego ogona mają tylko dodatkową dziurę w d.pie...
Skuteczność szyfrowania połączeń w ekosystemie Apple można porównać do działania super tajnej niemieckiej maszyny szyfrującej Enigma. Z tą drobną różnicą, że żaden operator Enigmy nie miał zwyczaju czytać potem na głos w tramwaju kartek z treścią odkodowanych meldunków i nie rozdawał przypadkowym przechodniom bębnów szyfrujących.
Przy okazji aktualizacji iOS wyszła na jaw jeszcze jedna ciekawostka. Łatkę do systemu dostały również starsze iGadżety. Posiadacze antycznych iPhonów 4 i iPadów 2 cieszyli się jak dzieci, że Apple tak się o nich troszczy. Na MyApple jakiś zachwycony user nawet pochwalił się, że dostał poprawkę na 3GS-a. To takie miłe, że Apple dba nawet o użytkowników starszego sprzętu! Hmm... Mam dla was złą wiadomość. Nic z tych rzeczy - po prostu dziura w systemie jest o wiele starsza, niż myślicie...
PS. Ta sama dziura siedzi też w OS X. Ale na nią nie ma jeszcze łatki...
Źródło: Niebezpiecznik, Zaufana Trzecia Strona