CDR.cz - Vybráno z IT

CDR SecUpdate 38 - hack otisků prstů na novém iPhone | novinky v kauze NSA

apple-touchid-logo
Biometrická čtečka otisků prstů se dá prolomit jednoduchým způsobem na malé náklady. Slouží tak spíše k marketingovým účelům a není radno na ní spoléhat z bezpečnostního hlediska. Kauza NSA přináší novinky ohledně schválně oslabených šifrovacích protokolů.

Chyby v softwaru

Senzor otisků prstů na iPhone 5S prolomen

Týká se: iPhone 5S s iOS 7

První kusy nového iPhonu kolují po světě již od minulého pátku, kdy vypuklo globální šílenství z nového jablečného přírůstku do rodiny. Jeden kus sehnal i známý německý klub hackerů Chaos Computer Club, a přestože byl víkend, členové nezaháleli a podívali se na technologickou novinku iPhone 5S - biometrický senzor otisků prstů TouchID sloužící mimo jiné k přihlašování do systému a potvrzování platebních transakcí.

Členové CCC dlouhodobě zabezpečování systémů kritizují, protože otisk prstu je neměnná a relativně lehce napodobitelná informace. Již od roku 2004 mají na webu návod, jak takovou napodobeninu vyrobit a podle všeho takový postup použili i u nového iPhonu. Podle videa níže zafungoval a skoro každý si tak může proceduru vyzkoušet s minimálními náklady.

"I opilec hackne váš iPhone." - keano455 (Youtube)

Smutné. Tytam jsou pozitivní dojmy, které mohl u některých vzbudit dojemný klip Applu o geniálním zabezpečení vašeho telefonu. Otisky prstů jsou prostě z hlediska zabezpečení pasé, jen jsou příjemné, dobře to vypadá a hodí se to marketingu Applu. Otisky zanecháváme všude, není nijak složité je získat, postačí jejich fotografie ve vysokém rozlišení. U výslechu na Policii vám bude podobné zabezpečení také k ničemu - rozhodně pro ně bude jednodušší přitisknout palec na domovské tlačítku, než z vás páčit PIN kód nebo řetězec - heslo.

Doporučujeme tedy raději otisky pro přihlášení nepoužívat a zvolit si bezpečné přihlašovací heslo. Jeho crack bude NSA trvat trochu déle ;)

Novinky a Události

NSA ovlivňuje kryptografické standardy a tím podstatu svobody internetu

Již začátkem září trojice světových médií Guardian NY Times a ProPublica informovala o kolaboraci americké NSA a britské GCHQ na projektech ovlivňujících kryptografické standardy a bezpečnost v softwarových produktech obecně. Projekt zahrnoval mimo jiné Microsoft, Google, Facebook a Yahoo, se kterými agenti spolupracovali na obcházení bezpečnostních mechanismů. Hovoří se dokonce o vědomě umístěných zadních vrátkách v softwaru třetích stran, což NSA a GCHQ umožňovalo dešifrování zašifrované komunikace.

NSA-diagram1

Oracle asi s NSA spolupracuje na denní bázi, protože ta děravá Java, to není samo sebou...

Během minulého týdne proletěly médii informace o dopise britských kryptografických expertů do NSA/GCHQ, který volá po zveřejnění schválně oslabených protokolů, kvůli tomu, že se NSA/GCHQ "chovali a chovají proti zájmům veřejnosti, které mají sloužit." Není zatím známé, kterých protokolů se vědomé oslabování týká, ale podezřelý je zejména generátor náhodných čísel Dual_EC_DRBG, který je považován za hrozbu v posledních dnech i firmami, jako je RSA. Americký národní institut pro standardy NIST doporučuje tuto technologii nepoužívat, protože si nejspíš není jistý dostatečnou "náhodností" procedury.

NSA-Bullrun-1

Můžeme někomu věřit?

Podobné úniky již podkopávají samotnou podstatu anonymity na internetu. Neustále přibývající odhalení rozhodně nenasvědčují tomu, že následující várka bude poslední. Delší dobu experti spoléhali na kvalitní šifrování, ale i tato "poslední naděje" v posledních dnech bere za své. Paranoidní člověk je nyní realista, blázen je ten, kdo věří bezpečnosti stávajících služeb.

Mimo to přináší tato nedůvěra i ztráty bezpečnostním firmám, které mají na důvěře zákazníků postavený svůj byznys.


Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

Díly CDR Security Update SPECIÁL

Tagy: 
Zdroje: 

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate 38 - hack otisků prstů na novém iPhone | novinky v kauze NSA

Čtvrtek, 26 Září 2013 - 14:21 | Jiří Moos | To by nebylo špatné! :))
Úterý, 24 Září 2013 - 10:18 | Tom27 | tak pozitivum na ctecce jedno je slo by udelat,...
Úterý, 24 Září 2013 - 09:46 | Jakub Rydlo | Nevím sice jak kvalitní otisk se zachytí na...
Pondělí, 23 Září 2013 - 22:22 | peca | Od toho jsem admin/root a nemusím řešit nějaký...
Pondělí, 23 Září 2013 - 21:22 | Alexandra Stanovska | Partner/ka alebo rodičia kontrolujúci či...
Pondělí, 23 Září 2013 - 19:04 | Fotobob | Asi jo. :-)
Pondělí, 23 Září 2013 - 18:40 | mikeczcom | to než by našli správný otisk mi přijde reálnější...
Pondělí, 23 Září 2013 - 16:37 | peca | To je ale něco úplně jiného! To není o "...
Pondělí, 23 Září 2013 - 15:52 | Fotobob | Záleží jak moc uživatel používá Home. Několikeré...
Pondělí, 23 Září 2013 - 15:32 | Jack FX | Přestaňte doufat a zkuste chvilku googlit. Viz....

Zobrazit diskusi