מחשב כף יד

צפייה בגרסה מלאה : האם אפל מאפשרת לממשל האמריקני לרגל אחרינו?



RAiNZ
23/07/14, 21:06
האקר מוכר לשעבר מקהילת הפריצות חושף פריצות ?דלת אחורית? ב-iOS, וטוען שאפל מאפשרת לממשל האמריקאי (NSA) גישה למידע האישי שלכם. בהמשך:





רבים קוראים לי ?אכול סרטים?, או ?Conspiracy Theorist" באנגלית (אחד שכל הזמן מעלה תאוריות קונספירציה). אם כך, זה לא צריך להפתיע אתכם שפיסת החדשות הזו לכדה את תשומת ליבי: האקר ידוע לשעבר מקהילת הפריצות בשם ג'ונתן זג?רסקי הציג לאחרונה מצגת בכנס HOPE/X לגבי אבטחת מכשירי iOS. כחלק מהמצגת שלו, זג?רסקי טען כי הפלטפורמה הניידת של אפל מאובטחת ומוגנת באופן סביר מהתקפות מצד האקרים זדוניים. אך בד בבד, זג?רסקי גם מציין כי הוא מצא כמה ?דלתות אחוריות? מובנות בתוך מערכת ההפעלה של אפל, אשר לדבריו נועדו למעקב אחר המשתמשים. המושג ?דלת אחורית? (אנגלית: Back Door) מתאר פרצת אבטחה במערכת ההפעלה המאפשרת גישה למידע חסוי ללא צורך באימות זהות. פרצת דלת אחורית יכולה לנבוע משגיאת תכנות, התקנת תוכנה ספציפית (סוס טרויאני), או ליצירת פרצה מכוונת בקוד המקור - שזו למעשה הדוגמא שעליה מבוסס הטיעון של זג?רסקי.

במצגת, הנקראת 'זיהוי דלתות אחוריות, נקודות תקיפה, ומנגנוני מעקב במכשירי iOS, זג?רסקי פירט לגבי מספר שירותים מתועדים לזיהוי בעלי ערך גבוה הפועלים על מכשירי ה-iOS, לצד השמטות חשודות מאוד בעיצוב קוד המקור של מערכת ההפעלה - אשר נראים כמי שמטרתם היחידה היא לחטט במידע הפרטי של המשתמשים, ולאפשר גישה למידע הפרטי הזה לגורמים מצד שלישי. אם השם של ההאקר נשמע לכם מוכר, זה בגלל שזג?רסקי היה פעם דמות ידועה בקהילת הפריצות. תחת שם המסך NerveGas, הוא היה חבר בצוות ה-Dev-Team המקורי אשר היה אחראי לשיחרורן של פריצות רבות, ושבין חבריו נמנים האקרים מוכרים מסצינת הפריצות כגון מאסלנרד, סאוריק, פלאנטביאינג וקומקס. זג?רסקי הוא כיום סופר שהספיק לכתוב מאז 5 ספרים, וביניהם ספר בשם ?פריצה ואבטחה לאפליקציות ב-iOS".


http://i62.tinypic.com/33kwsoy.jpg


הנה כמה מהטענות הרציניות יותר של זג?רסקי נגד אפל (באמצעות ZDNet):


אפל מחלקת הרבה נתונים מאחורי הגב שלנו
עקיפת הצפנת הגיבוי היא הפרה גסה של אמונם ופרטיותם של הלקוחות
אין שום תירוץ חוקי להדליף נתונים אישיים או לאפשר מעקב אחר חבילות מידע ללא ידיעתו או רשותו של המשתמש.
חלק גדול מהמידע הזה פשוט לא צריך לרדת מהטלפון, גם לא בעת גיבוי.
אפל הוסיפה נוחויות רבות עבור ארגונים שהופכים את נקודות התורפה לאטרקטיביות עבור הממשל והאקרים
בסך הכל, האבטחה הבדרך-כלל-מצויינת של iOS נפרצה ... על ידי אפל ... בכוונה.


וחלק מהשאלות שזג?רסקי שואל את אפל:


מדוע יש ?מרחרח חבילות? שפועל על 600 מיליון מכשירי iOS אישיים במקום שיפעל בסביבת הפיתוח?
למה ישנם שירותים העוקפים את הצפנת הגיבוי האישי של המשתמשים, אשר אינם מתועדים ואשר מורידים כמויות עצומות של נתונים אישיים מהטלפון?
מדוע רוב נתוני המשתמש שלי עדיין לא מוצפנים ע?י הקוד האישי או הסיסמה שלי, מה שמאפשר חדירה לפרטיות האישית שלי על ידי אפל?
למה עדיין יש אין מנגנון לסקור את המכשירים שמצוותים עם האייפון שלי, בכדי שאוכל למחוק את אלו שלא שייכים?



http://i58.tinypic.com/30upttk.jpg


עד כמה שההאשמות הללו נשמעות פראיות, הן עולות בקנה אחד עם דיווחים מסוף השנה שעברה אשר טענו שמכשירי iOS מכילים דלתות אחוריות שמיועדות למעקב ממשלתי. מסמך שהודלף חשף תוכנית בלעדית למעקב אחר משתמשי האייפון תחת שם הקוד DROPOUT JEEP של ארגון הביון האמריקאי ה-NSA, ורבים תהו אם אפל מעורבת בדבר. הדבר הוסיף שמן למדורה, שכן משתמשים כבר תהו בפומבי לגבי עמדתה של אפל על פרטיות המשתמש מאז ששמה עלה בהדלפת תכנית ה-PRISM של אדוארד סנודן בקיץ שעבר. התכנית לכאורה אפשרה ל-NSA לגשת למידע פרטי של המשתמשים מעל גבי שרתים של 9 חברות טכנולוגיה גדולות, כולל גוגל, מיקרוסופט ואפל.

אפל הכחישה נחרצות כל סוג של מעורבות בתכנית הממשלתית הסודית מספר פעמים, ואף הצטרפה לקואליציה של חברות טכנולוגיה אשר חברו לקמפיין שקורא לשקיפות רבה יותר מהממשלה. בעקבות הדו"ח של זג?רסקי, אפל פרסמה את ההצהרה הבאה (דרך טים ברדשאו):


?אנו תכננו את iOS, כך שפונקציות האבחון שלה לא מתפשרות על פרטיותם של המשתמשים וביטחונם, אבל עדיין מספקות את מידע הדרוש לפתרון בעיות טכניות למחלקות ה-IT הארגוניות, למפתחים ולאפל. משתמש חייב לפתוח את מכשירו מנעילה ולהסכים לסמוך על מחשב אחר לפני שהמחשב הזה יהיה הוא לגשת לנתוני האבחון המוגבלים הללו. המשתמשים חייבים להסכים לחלוק את המידע הזה, ונתונים לא הועברו ללא הסכמתם. כפי שכבר אמרנו בעבר, אפל מעולם לא עבדה עם אף סוכנות ממשלתית מאף מדינה בכדי ליצור דלת אחורית בכל אחד מהמוצרים או השירותים שלנו.?


מקור: idownloadblog (http://www.idownloadblog.com/2014/07/21/former-jailbreaker-backdoor/)
תרגום, עריכה ותוספות: RAiNZ


http://imageshack.com/a/img823/7383/wx78.jpg


בתור מישהו שגדל בצילו של חבר בקהילת הבטחון והמודיעין, אני לפעמים נדהם לגבי רמת האדישות או הבורות של אנשים בנושא המעקב הממשלתי אחר הציבור הרחב. אני לא מאשים או קוטל פה אף אחד, מכיוון שגם אני הייתי ככל הנראה בור לחלוטין בכל הקשור לסוגיה הזו, אם לא הייתי חשוף אליה מגיל צעיר. אני פשוט אומר שאנשים לא צריכים להיות מופתעים כל כך. הסיבה שבגינה אפל וכל חברות הטכנולוגיה האחרות לכאורה מאפשרות את הגישה הזו לממשל היא די פשוטה: זו עסקה מפוקפקת עם הרשויות, המאפשרת לחברות הללו בתורן לקבל הטבות רבות מהממשלה - הן מעל והן מתחת לשולחן.

כעת, הרשו לי להבהיר: זה לא כאילו שאפל, מיקרוסופט או ה-NSA ממש יושבים פיזית ומנטרים אחר המיילים, שיחות הטלפון והודעות הסמס של כלל האוכלוסיה בכל רגע נתון. זהו רעיון מגוחך, משום שזה פשוט בלתי אפשרי: היקף שעות העבודה וכמות כוח האדם שידרשו בכדי לאפשר פרוייקט שאפתני, מאסיבי וארוך טווח שכזה הם פשוט אסטרונומיים. אי לכך, זה הופך את הרעיון הזה למגוחך, מכיוון שהוא פשוט בלתי אפשרי ליישום בצורה חד משמעית שאינה משתמעת לשני פנים.

אבל האמת היא, שאפל ושאר חברות הטכנולוגיה האחרות הן לא ?הרעות? בסיפור הזה, שכן הן בסך הכל עושות צעד שמשתלם להן לעשות. הממשלה האמריקאית היא "האשם" האמיתי כאן, והיא עושה זאת בעיקר בכדי לקבל גישה קלה למכשירים שנמצאים בשימוש על ידי "אנשים בעלי עניין". אותם "אנשים בעלי עניין" יכולים להיות כל אחד שהממשלה מעוניינת לעקוב אחריו, בכל זמן נתון, ועבור מכלול של סיבות (חשד לפעילות טרור, הונאה, וכו '). בקליפת אגוז, זהו נושא של זכויות וחירויות האזרח בפני הממשל, ולא של פרטיות המשתמשים בפני חברות הטכנולוגיה: בעוד שהמשטרה בדרךך כלל נדרשת להשיג צו חיפוש בכדי לחטט בטלפון של הנחקר, סוכנויות ממשלתיות חשאיות יותר אחרות לא צריכות צו שכזה. סעיפי ריקו וחוק הפטריוט האמריקאי מאפשרים להם לעשות פחות או יותר כרצונם, ולצאת מזה בלי שיצטרכו לתת דין וחשבון (אפילו לא מענה רשמי) לאזרח הקטן.


http://i72.photobucket.com/albums/i178/godessu/ios8dev_pic7_zpsa893647c.jpg


אני יכול רק לייעץ kכל מי שיש לו בעיה עם זה, שהוא אולי צריך להתחיל ולשקול ברצינות להיפטר מהסמארטפון ולהשתמש במקומו במכשיר טלפון חד פעמי, מה שנקרא ?טלפשע?. המידע הזה, במידה ונכון, לא הולך להשתנות בקרוב - ולא משנה כמה גדולה ואינטנסיבית המחאה הציבורית שעלולה להגיע בארה?ב בעקבות הידיעה הזו עשויה להיות. יש להם (לממשל) את הכוח, והם לא מתכוונים לוותר עליו. פשוט קחו בחשבון שי מצב שלאנשים אחרים יש גישה לכל המידע הפרטי שלכם, לא משנה איזה מכשיר יש לכם, ולא משנה אם יש לכם קוד, לא משנה אם הצפנתם גיבוי, ולא משנה כמה ארוכה, מסובכת ומתוחכמת הסיסמא שלכם. או, שתקחו בחשבון שזו סתם תאוריית קונספירציה. הבחירה שלכם.

rughchf
23/07/14, 22:16
יש לי רק דבר אחד הגיד: דא.

ebest
23/07/14, 22:29
אני בדרך כלל לא אדם קונספירטיבי במיוחד, אבל הפעם נראה לי שאני אשאר עם זה :D (ציפיתם למשהו אחר אה?).
בין אם זה נכון ובין אם לא, אני חי טוב עם עצמי, גם אם הממשל האמריקאי מנסה לרדוף אחריי במרחבי הסייבר שלהם..

Razor1991
24/07/14, 00:40
מעולם לא הפריע לי שידעו פרטים עליי. אני לא משתמש בטלפון שלי לשום דבר שהוא אסור, ממילא אין לי מה לחשוש. מה גם שאני לא בטוח שלמישהו מממשלה כזו או אחרת איכפת ממני ובאמץ תריץ חיפוש לראות מה אני עושה עם הטלפון שלי. ..גם אם כן אז על הדרך אחרי שיראו את רשימת הקניות מהסופר שיש לי בתזכורת אני גם מזמין אותם לקנות אותן עבורי (:
אני אחזור על זה: כל עוד אתה אזרח סביר מן המניין ונוהג על פי חוק, ממה יש לך לחשוש אם ידעו פרטים עליך? אז שידעו שרבתי עם פלוני אלמוני או כל דבר אחר...

aihysp
24/07/14, 01:47
ידוע אם הייתי אמריקאי הייתי קצת יותר עצבני אבל לא נראה לי שלגופים בארץ יש גישה למידע
או לאנשים שיש להם גישה

mrBig00
24/07/14, 09:08
לא מפתיע במיוחד, ה NSA עוקבים אחרי כולם.

dorpnhs
24/07/14, 10:36
לא רק הNSA, אל תהיו תמימים.
ולא צריך כוח אדם שיקרא מיילים והודעות שלכם, זה עובד על אוטומציה.
אתם פשוט לא ממש מעניינים את הגורמים האלה, אם זה קיים סביר להניח שזה לא עובד על הפרט גם אם הוא "סיכון בטחוני".

פרטיות שמטיות, יש דברים שצריכים להיות מנוטרים.
מערכת אשלון קיימת בבריטניה, אגב.

i8phone
24/07/14, 14:15
אני חושב שאנחנו נימצאים בנקודת זמן לפני חקיקת חוקים בעיניין פרטיות וצנזורה.
הרשת של היום היא מקום פרוץ לחלוטין שלכל אחד גישה לתכנים בלתי הולמים, עניין הפרטיות זנוח לגמרי והמכשירים הניידים הם כלי ריגול. הייתי מציע לייצר מכשיר נייד בעל כפתורים פיזים שיכולים לכבות את המצלמות, מיקרופון וג'יפיאס.

BennyMarks
25/07/14, 06:42
אני חושב שאנחנו נימצאים בנקודת זמן לפני חקיקת חוקים בעיניין פרטיות וצנזורה.

העידן הדיגיטלי נותן בידי הגופים הגדולים, הן גופי ממשל והן תאגידי או חברות הענק, כלים חזקים בהרבה מבעבר לאסוף מידע אישי, הן למטרות שליטה והן למטרות מסחר. לא סביר שתעבור איזו חקיקה שהיא שתגביל את היכולת הזו - כפי שאכן צויין מפורשות במאמר.

דרך ההתגוננות העיקרית שרבים נוקטים בה מתוך ברירת מחדל, ואף מוצאת ביטוי בתגובות למאמר הזה - היא להיבלע בהמון. וזאת בהיתבסס על ההנחה שהמידע האישי של אדם נורמטיבי פשוט הינו חסר ערך עבור גופי מודיעין וממשל, ואילו את חברות הענק מעניינות העדפותיו החומריות של אותו פרט הרבה יותר מזהותו המדוייקת, והשימוש שהן עושות במידע הוא על פי רוב בעל אופי מטריד ותו לא.

ההנחה הזו אינה שלמה - כמובן, ואין הצדקה מלאה לוותר על כללי הזהירות הבסיסיים בקשר למידע שאנו חושפים על עצמנו (ואפילו בהתנדבות), אך היא אכן כלי האבטחה היעיל ביותר שבידינו, לפחות באספקט המדובר במאמר, וגם הוא יעיל פחות מבעבר הודות לשימוש במחשבים.

הנה תגובה שכתבתי כבר לפני שנה - מסתבר שלא הרבה השתנה מאז באותו נושא:

עמימות היא אחת מרבדי האבטחה הטובים, אם לא הטוב והיעיל מכולם, כיוון שהיא מסתירה מיריב פוטנציאלי את נקודות התורפה, ואת הסיבות שבשלן הוא ישקול בכלל להתקיף. באותה משפחה של שיטות אבטחה פאסיביות ניתן למנות גם מידור, וכן היבלעות בהמון, המניחות שפגיעה בפרט כלשהו היא סבירה, אך מקטינות את הסיכויים לפגיעה משמעותית בכלל, או בפרט ספציפי.

...

עם כל האמור לעיל - ברור לכולם, ובמיוחד לאלו העוסקים בתוכנה, כי גם אמצעי האבטחה הננקטים על-ידי אפל רחוקים משלמות, ואינם מענה הרמטי לאבטחתו של המשתמש ונתוניו האישיים. ראשית - כל מערכת ניתנת לפריצה, וכמה דוגמאות לכך קיבלנו דווקא מאפל לאחרונה. שנית - לפעמים צרכי האבטחה של המשתמש עומדים בסתירה לאינטרסים של אפל, רשויות החוק, או אפילו מדינות - כדוגמת הסאגה האחרונה שנחשפה בארצות הברית.

לאור האמור לעיל - סרטיפיקציה או רגולציה אינן מספקות רמה גבוהה יותר של אבטחה למשתמש הסופי, ולפיכך אינן רלוונטיות. אולי האמצעי היחיד שעדיין נשאר בשליטתו של האדם הפרטי מול האח הגדול הוא security by obscurity, ואולי גם זה לא בשליטתנו עוד.